內容管理系統Drupal提出重大安全漏洞

全球第三大內容管理系統Drupal修補一重大安全漏洞，該漏洞容許遠程黑客執行任意程序並取得Drupal網站的控制權。根據WebsiteSetup在去年12月的統計，全球約有16.5億個網站，當中有一半採用內容管理系統（CMS）進行建置，在CMS市場上，市佔率最高的是WordPress，佔了60%，居次的是Joomla的6.6%，Drupal則以4.6%名列第三，意味着約有3,700萬個網站採用Drupal。Drupal則說明，此一編號爲CVE-2019-6340的安全漏洞，肇因於某些類型的字段沒法適當地處理非表格來源的數據，在某些狀況下將容許黑客自遠程執行PHP程序，於是將它列爲高度重大（highly critical）漏洞。

但只有在某些特定的配置下才會造成漏洞，包括在Drupal 8上啓用RESTful Web服務模塊，同時容許PATCH或POST請求；或者是啓用了其它Web服務模塊，像是在Drupal 8上啓用JSON:API，或是在Drupal 7上啓用Services或RESTful。Drupal已修補了相關漏洞，建議Drupal 8.6.x用戶升級到Drupal 8.6.10，8.5.x用戶升級到Drupal 8.5.11，而雖然8.5.x之前的Drupal 8版本也受到該漏洞的影響，但因其產品壽命週期已經結束，已無更新程序可用。若要當即緩解該漏洞則可關閉全部的Web服務模塊，或是變動Web服務器配置，禁止以PUT/PATCH/POST請求Web服務資源。