Drupal 9.2.x < 9.2.21/9.3.x < 9.3.16 Drupal 多個弱點 (SA-CORE-2022-011)

high Nessus Plugin ID 162123

語系：

概要

遠端網頁伺服器上執行的 PHP 應用程式受到多個弱點的影響。

說明

根據其自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 9.2.21 之前的 9.2.x、9.3.16 之前的 9.3.x 或 9.4.0-rc2 之前的 9.4.x。因此，它會受到多個弱點影響。

- Guzzle 是一個開放原始碼的 PHP HTTP 用戶端。在受影響的版本中，要求的「Cookie」標頭是敏感資訊。當使用「https」配置向伺服器提出要求時，若伺服器以重新導向至包含「http」配置的 URI 作爲回應，或在向伺服器提出要求時，若伺服器以重新導向至其他主機的 URI 作爲回應，則我們不應轉送「Cookie」標頭。在此修正之前，系統只會安全移除由我們的 cookie 中介軟體管理的 cookie，而不會去除手動新增至初始要求的任何「Cookie」標頭。我們現在一律將其去除，並允許 cookie 中介軟體重新新增它認為應該存在的任何 cookie。受影響的 Guzzle 7 使用者應盡快升級至 Guzzle 7.4.4 。使用任何舊版 Guzzle 的受影響使用者應升級至 Guzzle 6.5.7 或 7.4.4。無法升級的使用者可考慮使用您自己的重新導向中介軟體，而非我們的方法。如果您不要求或期望遵循重新導向，則應該一起停用所有重新導向。(CVE-2022-31042)

- Guzzle 是一個開放原始碼的 PHP HTTP 用戶端。在受影響的版本中，要求的「Authorization」標頭是敏感資訊。當使用「https」配置向伺服器提出要求時，若伺服器以重新導向至包含「http」配置的 URI 作爲回應，則我們不應轉送「Authorization」標頭。這與我們在主機變更時不轉送標頭的方式大致相同。在此修正之前，「https」降級為「http」不會導致「Authorization」標頭遭移除，只會導致主機發生變更。
受影響的 Guzzle 7 使用者應盡快升級至 Guzzle 7.4.4 。使用任何舊版 Guzzle 的受影響使用者應升級至 Guzzle 6.5.7 或 7.4.4。無法升級的使用者可考慮使用自己的重新導向中介軟體，或者如果不打算使用或不需要重新導向，使用者可以一起停用所有重新導向。(CVE-2022-31043)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。