内容管理系统Drupal提出重大安全漏洞

全球第三大内容管理系统Drupal修补一重大安全漏洞，该漏洞容许远程黑客执行任意程序并取得Drupal网站的控制权。根据WebsiteSetup在去年12月的统计，全球约有16.5亿个网站，当中有一半采用内容管理系统（CMS）进行建置，在CMS市场上，市占率最高的是WordPress，占了60%，居次的是Joomla的6.6%，Drupal则以4.6%名列第三，意味着约有3,700万个网站采用Drupal。Drupal则说明，此一编号为CVE-2019-6340的安全漏洞，肇因于某些类型的字段没法适当地处理非表格来源的数据，在某些状况下将容许黑客自远程执行PHP程序，于是将它列为高度重大（highly critical）漏洞。

但只有在某些特定的配置下才会造成漏洞，包括在Drupal 8上启用RESTful Web服务模块，同时容许PATCH或POST请求；或者是启用了其它Web服务模块，像是在Drupal 8上启用JSON:API，或是在Drupal 7上启用Services或RESTful。Drupal已修补了相关漏洞，建议Drupal 8.6.x用户升级到Drupal 8.6.10，8.5.x用户升级到Drupal 8.5.11，而虽然8.5.x之前的Drupal 8版本也受到该漏洞的影响，但因其产品寿命周期已经结束，已无更新程序可用。若要当即缓解该漏洞则可关闭全部的Web服务模块，或是变动Web服务器配置，禁止以PUT/PATCH/POST请求Web服务资源。