Drupal 9.2.x < 9.2.21/9.3.x < 9.3.16 Drupal 多個弱點 (SA-CORE-2022-011)

high Nessus Plugin ID 162123

Synopsis

遠端網頁伺服器上執行的 PHP 應用程式受到多個弱點的影響。

描述

根據其自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 9.2.21 之前的 9.2.x、9.3.16 之前的 9.3.x 或 9.4.0-rc2 之前的 9.4.x。因此,它會受到多個弱點影響。

- Guzzle 是一個開放原始碼的 PHP HTTP 用戶端。在受影響的版本中,要求的「Cookie」標頭是敏感資訊。當使用「https」配置向伺服器提出要求時,若伺服器以重新導向至包含「http」配置的 URI 作爲回應,或在向伺服器提出要求時,若伺服器以重新導向至其他主機的 URI 作爲回應,則我們不應轉送「Cookie」標頭。在此修正之前,系統只會安全移除由我們的 cookie 中介軟體管理的 cookie,而不會去除手動新增至初始要求的任何「Cookie」標頭。我們現在一律將其去除,並允許 cookie 中介軟體重新新增它認為應該存在的任何 cookie。受影響的 Guzzle 7 使用者應盡快升級至 Guzzle 7.4.4 。使用任何舊版 Guzzle 的受影響使用者應升級至 Guzzle 6.5.7 或 7.4.4。無法升級的使用者可考慮使用您自己的重新導向中介軟體,而非我們的方法。如果您不要求或期望遵循重新導向,則應該一起停用所有重新導向。(CVE-2022-31042)

- Guzzle 是一個開放原始碼的 PHP HTTP 用戶端。在受影響的版本中,要求的「Authorization」標頭是敏感資訊。當使用「https」配置向伺服器提出要求時,若伺服器以重新導向至包含「http」配置的 URI 作爲回應,則我們不應轉送「Authorization」標頭。這與我們在主機變更時不轉送標頭的方式大致相同。在此修正之前,「https」降級為「http」不會導致「Authorization」標頭遭移除,只會導致主機發生變更。
受影響的 Guzzle 7 使用者應盡快升級至 Guzzle 7.4.4 。使用任何舊版 Guzzle 的受影響使用者應升級至 Guzzle 6.5.7 或 7.4.4。無法升級的使用者可考慮使用自己的重新導向中介軟體,或者如果不打算使用或不需要重新導向,使用者可以一起停用所有重新導向。(CVE-2022-31043)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Drupal 9.2.21/9.3.16/ 9.4.0-rc2 或更新版本。

另請參閱

https://www.drupal.org/node/1173280

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/sa-core-2022-011

https://www.drupal.org/node/3268032

http://www.nessus.org/u?480a85b9

http://www.nessus.org/u?67250a58

http://www.nessus.org/u?c8d24d6d

https://www.drupal.org/project/drupal/releases/9.2.21

https://www.drupal.org/project/drupal/releases/9.3.16

https://www.drupal.org/project/drupal/releases/9.4.0-rc2

Plugin 詳細資訊

嚴重性: High

ID: 162123

檔案名稱: drupal_9_3_16.nasl

版本: 1.5

類型: remote

系列: CGI abuses

已發布: 2022/6/10

已更新: 2022/7/5

組態: 啟用 Paranoid 模式, 啟用徹底檢查

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-31043

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

必要的 KB 項目: Settings/ParanoidReport, installed_sw/Drupal

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/6/10

弱點發布日期: 2022/6/10

參考資訊

CVE: CVE-2022-31042, CVE-2022-31043