首页 > 清静研究 > 清静转达 > 清静通告

Drupal Symfony组件误差清静通告

宣布时间 2018-08-07

误差编号和级别

CVE-2018-14773 高 CVSS分值：官方未评定

影响版本

Drupal < 8.5.6Symfony 2.7.0至2.7.48，，，，，，，，2.8.0至2.8.43，，，，，，，，3.3.0至3.3.17，，，，，，，，3.4.0至3.4.13，，，，，，，，4.0.0至4.0.13，，，，，，，，4.1.0至4.1.2版本Symfony HttpFoundation组件受此清静问题的影响。。。。。。。

误差概述

Symfony HttpFoundation组件是Drupal Core中使用的第三方库，，，，，，，，该缺陷会影响8.5.6之前的Drupal 8.x版本。。。。。。。Symfony是许多项目正在使用的Web应用程序框架，，，，，，，，这意味着CVE-2018-14773误差可能会影响大宗Web应用程序。。。。。。。

该缺陷是由于Symfony支持遗留和危险的HTTP标头。。。。。。。

远程攻击可以通过使用特制的“X-Original-URL”或“X-Rewrite-URL”HTTP标头值来触发该缺陷。。。。。。。

Drupal维护者也发明了一个类似的问题，，，，，，，，影响了Drupal Core中使用的 Zend Feed 和 Diactoros 库。。。。。。。这些库受到“URL重写误差”的影响，，，，，，，，无论怎样，，，，，，，，Drupal团队确认 Drupal Core不使用易受攻击的功效。。。。。。。

使用Zend Feed或Diactoros的网站的治理员需要尽快修补它们。。。。。。。在黑客最先使用CVE-2018-14773误差之前，，，，，，，，Drupal治理员需要紧迫修补他们的装置。。。。。。。

万利国际官网(中国游)有限公司

修复建议：

这个误差已在Symfony版本2.7.49，，，，，，，，2.8.44，，，，，，，，3.3.18，，，，，，，，3.4.14，，，，，，，，4.0.14和4.1.3中修复，，，，，，，，Drupal已在其最新版本8.5.6中修补了该问题。。。。。。。

https://www.drupal.org/SA-CORE-2018-005

https://github.com/symfony/symfony/commit/e447e8b92148ddb3d1956b96638600ec95e08f6b

参考链接：

https://www.securityfocus.com/bid/104943/references

https://www.drupal.org/SA-CORE-2018-005

https://www.drupalcenter.de/aggregator/categories/7

https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系