2019年5月8日，Drupal官方發(fā)布了Drupal core第三方類庫(kù)TYPO3/PharStreamWrapper 存在反序列化保護(hù)機(jī)制可被繞過(guò)導(dǎo)致遠(yuǎn)程代碼執(zhí)行的漏洞的公告，官方編號(hào)：SA-CORE-2019-007漏洞公告鏈接：https://www.drupal.org/sa-core-2019-007

根據(jù)公告，Drupal core　7.x、8.x版本的依賴庫(kù)組件Phar Stream Wrapper針對(duì)反序列化保護(hù)的攔截器可能被繞過(guò)，惡意攻擊者通過(guò)構(gòu)造含有惡意代碼的Phar文件實(shí)現(xiàn)代碼執(zhí)行效果，從而影響到業(yè)務(wù)系統(tǒng)的安全性，漏洞CVE編號(hào)：CVE-2019-11831，建議盡快更新到新的無(wú)漏洞版本，第三方組件TYPO3/PharStreamWrapper相關(guān)漏洞公告鏈接：https://typo3.org/security/advisory/typo3-psa-2019-007/

2
漏洞影響范圍

CVE-2019-11831：第三方依賴庫(kù)組件TYPO3/PharStreamWrapper反序列化保護(hù)機(jī)制可被繞過(guò)導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞影響Drupal core7.x、8.x版本：

Drupal 7.x版本建議更新到7.67以上版本，下載地址：https://www.drupal.org/project/drupal/releases/7.67

Drupal 8.6.x版本建議更新到8.6.16以上版本，下載地址：https://www.drupal.org/project/drupal/releases/8.6.16

Drupal 8.7.x之前版本，建議更新到8.7.1以上版本，下載地址：https://www.drupal.org/project/drupal/releases/8.7.1

注意：Drupal 8.6.x之前的版本已不再受安全更新支持，建議更新到8.6.x以上版本。

CVE-2019-11831：反序列化保護(hù)機(jī)制可被繞過(guò)導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞影響TYPO3/PharStreamWrapper組件2.x和3.x版本，需要更新：

2.x版本，建議更新到2.1.1以上版本

3.x版本，建議更新到3.1.1以上版本

下載地址：https://github.com/TYPO3/phar-stream-wrapper/releases

3
漏洞緩解措施

威脅等級(jí)

高危：目前Drupal core的第三方類庫(kù)TYPO3/PharStreamWrapper組件漏洞攻擊代碼暫未公開(kāi)，但攻擊者可以根據(jù)代碼補(bǔ)丁比較方法分析漏洞觸發(fā)點(diǎn)，進(jìn)一步開(kāi)發(fā)漏洞利用代碼，建議及時(shí)升級(jí)安全更新版本，或是部署必要的安全防護(hù)設(shè)備攔截基于PHP的危險(xiǎn)代碼。

威脅推演：此漏洞為遠(yuǎn)程代碼執(zhí)行漏洞，基于全球使用該產(chǎn)品用戶的數(shù)量，惡意攻擊者可能會(huì)開(kāi)發(fā)針對(duì)該漏洞的自動(dòng)化攻擊程序，實(shí)現(xiàn)漏洞利用成功后植入后門(mén)程序，并進(jìn)一步釋放礦工程序或是DDOS僵尸木馬等惡意程序，從而影響到網(wǎng)站服務(wù)的正常提供。