【误差通告】Drupal?远程代码执行误差（CVE-2020-13671）通告

2020-11-20

一. 误差概述

11月19日，九游老哥科技监测到 Drupal 官方宣布清静通告修复了 Drupal 远程代码执行误差（CVE-2020-13671），由于Drupal core 没有准确地处置惩罚上传文件中的某些文件名，导致在特定设置下后续处置惩罚中文件会被过失地剖析为其他MIME类型，未授权的远程攻击者可通过上传特定文件名的恶意文件，从而实现恣意代码执行。请相关用户尽快接纳步伐举行防护。

Drupal是使用PHP语言编写的开源内容治理框架（CMF），由内容治理系统（CMS）和PHP开发框架（Framework）配合组成。

参考链接：

https://www.drupal.org/sa-core-2020-012

二. 影响规模

受影响版本

Drupal < 7.7.4

Drupal < 8.8.11

Drupal < 8.9.9

Drupal < 9.0.8

注：8.8.x之前的Drupal 8版本官方已经阻止维护。

不受影响版本

Drupal 7.7.4

Drupal 8.8.11

Drupal 8.9.9

Drupal 9.0.8

三. 清静检测

3.1 版本检查

相关用户可通过审查目今使用的Drupal版原来确定是否受该误差影响，登录后台后，依次点击“治理”-“日志”-“报告状态”，即可审查目今的应用版本：

九游老哥·(中国)俱乐部官方网站

若是目今版本在受影响规模内，则保存清静危害。

3.2 文件排查

相关用户可对Drupal目录下已经保存的文件举行排查，尤其注重如 filename.php.txt 或 filename.html.gif 这类包括多个扩展名的文件，扩展名中是否保存下划线 _ 。特殊注重以下文件扩展名，纵然后面随着一个或多个其他扩展名，也应该被以为是危险文件，例如：phar、php、pl、py、cgi、asp、js、html、htm、phtml等。

四. 误差防护

4.1 官方升级

现在官方已宣布新版本修复了此误差，请受影响的用户尽快升级至对应的新版本举行防护：

修复版本	下载链接
Drupal 7.7.4	https://www.drupal.org/project/drupal/releases/7.74
Drupal 8.8.11	https://www.drupal.org/project/drupal/releases/8.8.11
Drupal 8.9.9	https://www.drupal.org/project/drupal/releases/8.9.9
Drupal 9.0.8	https://www.drupal.org/project/drupal/releases/9.0.8