当前位置:安全资讯 >> 全文

Drupal 怒怼研究员:受Drupalgeddon2 影响的站点没那么多!

发布时间:2018-6-8 18:36 标签: Drupal,漏洞
分享到 0

Drupal 安全团队驳斥了近期关于至少仍有11.5万个网站易受 Drupalgeddon2 攻击影响的报告,称研究员所使用的统计方法有问题。

Drupalgeddon2 的编号是 CVE-2018-7600,它可导致远程攻击者执行任意代码并完全控制运行 Drupal 678 的所有站点。该缺陷已在版本 7.588.5.18.3.9 8.4.6 中得以修复,另外 Drupal 6 也得到修复。

Drupalgeddon2 已遭恶意软件用于密币挖矿机、后门、RAT和技术支持诈骗活动中。在分析Drupalgeddon2 的过程中,Drupal 安全团队和最初报告漏洞的开发人员找到了另外一个缺陷。该缺陷的编号是 CVE-2018-7602且被称为 Drupalgeddon3,它已遭利用。

研究员称仍有11.5万个站点易受攻击

研究员 Troy Mursch 近期分析运行最流行的内容管理系统 (CMS) 版本 Drupal 7 的网站时指出,其中很多网站仍然未修复 Drupalgeddon2 漏洞。

Mursch 通过 PublicWWW 源代码搜索引擎找到了近50万个 Drupal 7 网站,并发现其中115,070 个站点仍然运行着老旧版本的 CMS。分析指出约13.4 万个网站并不易受攻击,而22.5万个站点的 Drupal 版本无法确定。

这些数字显然是基于每个站点上的公开可访问的 CHANGELOG.txt 文件数据。使用 Drupal 7.58 或更高版本的站点被归类为不易受攻击的站点,而更早版本则被归类于受影响站点。

Drupal 安全团队认为评判标准无效

Drupal 安全团队在网上发布声明称,检查 CHANGELOG.txt 的内容并非判断网站是否易受任何既定攻击向量影响的有效方法。Drupal 安全团队推出的补丁已被大规模使用,但并未触及 CHANGELOG.txt 或其它地方规定的版本字符串。供应商已提供了其它也不会影响 CHANGELOG.txt 但会保护站点的缓解措施。他们认为研究员公布的数字并不准确,仅从 CHANGELOG.txt 就得出结论的做法具有误导性。

研究人员的回应

Mursch 更新博客文章指出,如果不实际尝试攻击漏洞的话,就不可能准确判断出到底有多少 Drupal 网站仍然易受 Drupalgeddon2 攻击的影响。但尝试攻击仅50万站点是非法行为 ,因此他不会通过执行利用或其它变体来证明所有站点仍易受攻击。但事实是所有的 11.5 万个站点运行的是老旧版本的 Drupal

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/drupal-refutes-reports-115000-sites-still-affected-drupalgeddon2
参与讨论,请先 登录 | 注册

用户评论