集团新闻

        Drupal开发人员发布了Drupal的 7.69、8.7.11和8.8.1版本,这些版本解决了多个漏洞,其中包括一个严重的文件处理问题。

        Archive_Tar第三方库相关漏洞是本次修复中遇到的最难处理的。Archive_Tar是处理PHP中的TAR存档文件的工具。此漏洞影响到了Drupal 7x,8.7.x和8.8.x版本。Drupal的Jasper Mattsson报告了此漏洞。

        Drupal针对漏洞SA-CORE-2019-012发布安全公告称:“ Drupal项目使用第三方库Archive_Tar,该库已发布的安全更新将会影响Drupal配置。如果允许上传.tar, .tar.gz, .bz2 or .tlz 文件并对其进行处理,则可能触发多个漏洞 。Drupal的最新版本将Archive_Tar升级为1.4.9,以降低文件处理漏洞严重性。”

        专家指出某些配置容易受到攻击,允许上传TAR,TAR.GZ,BZ2或TLZ文件的网站有一定安全风险。

        开发团队发布了1.4.9版本以解决此问题。

        Drupal开发人员解决的其他漏洞是:

        等级为“严重”的问题影响版本8.7.x和8.8.x。