首页 > 安全钻研 > 安全传递 > 安全公告

Drupal Symfony组件缝隙安全公告

颁布功夫 2018-08-07

缝隙编号和级别

CVE-2018-14773 高 CVSS分值：官方未评定

影响版本

Drupal < 8.5.6Symfony 2.7.0至2.7.48，，，，，，2.8.0至2.8.43，，，，，，3.3.0至3.3.17，，，，，，3.4.0至3.4.13，，，，，，4.0.0至4.0.13，，，，，，4.1.0至4.1.2版本Symfony HttpFoundation组件受此安全问题的影响。。。。。。。

缝隙概述

Symfony HttpFoundation组件是Drupal Core中使用的第三方库，，，，，，该缺点会影响8.5.6之前的Drupal 8.x版本。。。。。。。Symfony是很多项目在使用的Web利用法式框架，，，，，，这意味着CVE-2018-14773缝隙可能会影响大量Web利用法式。。。。。。。

该缺点是由于Symfony支持遗留和危险的HTTP标头。。。。。。。

远程攻击能够通过使用特造的“X-Original-URL”或“X-Rewrite-URL”HTTP标头致反触发该缺点。。。。。。。

Drupal守护者也发现了一个类似的问题，，，，，，影响了Drupal Core中使用的 Zend Feed 和 Diactoros 库。。。。。。。这些库受到“URL沉写缝隙”的影响，，，，，，无论若何，，，，，，Drupal团队确认 Drupal Core不使用易受攻击的职能。。。。。。。

使用Zend Feed或Diactoros的网站的治理员必要尽快建补它们。。。。。。。在黑客起头利用CVE-2018-14773缝隙之前，，，，，，Drupal治理员必要垂危建补他们的装置。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

建复建议：

这个缝隙已在Symfony版本2.7.49，，，，，，2.8.44，，，，，，3.3.18，，，，，，3.4.14，，，，，，4.0.14和4.1.3中建复，，，，，，Drupal已在其最新版本8.5.6中建补了该问题。。。。。。。

https://www.drupal.org/SA-CORE-2018-005

https://github.com/symfony/symfony/commit/e447e8b92148ddb3d1956b96638600ec95e08f6b

参考链接：

https://www.securityfocus.com/bid/104943/references

https://www.drupal.org/SA-CORE-2018-005

https://www.drupalcenter.de/aggregator/categories/7

https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

软件升级

投资者关系