公告php

A. 開源PHP組件漏洞曝光，多個運行CMS系統的網站受影響

據外媒報道，研究人員發現，CMS製造商Typo3開發的開源PHP組件PharStreamWrapper存在安全漏洞， 運行Drupal、Joomla或Typo3內容管理系統的網站均受影響。

據悉，該漏洞由研究人員Daniel Le Gall發現，被命名為Drupalgeddon，編號CVE-2019-11831， 允許黑客使用惡意phar歸檔替換網站的合法歸檔文件。 Drupal開發人員將其標記為中等危險級別，低於近期Drupal漏洞和早期遠程代碼執行漏洞的高危評級。

Drupal官方發布漏洞公告稱，通過構造含有惡意代碼的Phar文件， 黑客可繞過Drupal core7.x、8.x版本PHP組件中針對反序列化保護的攔截器，遠程執行惡意代碼， 影響業務系統安全。

此外，黑客還可能會 開發針對該漏洞的自動化攻擊程序， 植入後門程序進一步釋放礦工程序或DDoS僵屍木馬等惡意軟體，影響網站正常運行。

截至目前，官方已發布安全補丁修復該漏洞， 專家建議網站管理員盡快更新以保護網站。 其中運行Drupal版本8.7的網站需要升級到版本8.7.1，運行8.6或更早版本的網站需要更新到版本8.6.16，運行版本7的網站需要升級到版本7.67，而Joomla需要升級到版本3.9.6。