近日,奇安信CERT监测到Drupal官方发布通告,由于Drupal使用Guzzle库来处理对外部服务的 HTTP 请求和响应,因而会受到Guzzle信息泄露漏洞(包括CVE-2022-31042和CVE-2022-31043)的影响,攻击者可利用这些漏洞泄露cookie 或Authorization标头。目前,官方已有可更新版本,建议用户尽快升级至最新版本。

1.Drupal Guzzle信息泄露漏洞(CVE-2022-31042)

漏洞名称

Drupal Guzzle信息泄露漏洞(CVE-2022-31042)

公开时间

2022-06-10

更新时间

2022-06-14

CVE编号

CVE-2022-31042

其他编号

QVD-2022-8934

威胁类型

信息泄露

技术类型

信息暴露

厂商

开源产品

产品

Guzzle

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未知

未知

未知

未知

漏洞描述

Guzzle中存在信息泄露漏洞,当使用https协议向服务器发起请求,服务器使用http协议重定向到某个URI进行响应,或重定向到另一个主机的URI进行响应时,在这个过程中任何手动添加到初始请求的“cookie”头不会被删除,会进行转发。

影响版本

Guzzle <= 6.5.6

7.0.0 <= Guzzle <= 7.4.3

不受影响版本

Guzzle == 6.5.7

Guzzle == 7.4.4

其他受影响组件

使用Guzzle进行传出请求的其他组件可能受此漏洞影响,如Drupal。

2.Drupal Guzzle信息泄露漏洞(CVE-2022-31043)

漏洞名称

Drupal Guzzle信息泄露漏洞(CVE-2022-31043)

公开时间

2022-06-10

更新时间

2022-06-14

CVE编号

CVE-2022-31043

其他编号

QVD-2022-8935

威胁类型

信息泄露

技术类型

信息暴露

厂商

开源产品

产品

Guzzle

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未知

未知

未知

未知

漏洞描述

Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞,当使用https协议向服务器发出请求,服务器重定向到http协议的URI进行响应时,从https到http的降级过程中不会删除 Authorization标头,Authorization 标头也会被转发。

影响版本

Guzzle <= 6.5.6

7.0.0 <= Guzzle <= 7.4.3

不受影响版本

Guzzle == 6.5.7

Guzzle == 7.4.4

其他受影响组件

使用Guzzle进行传出请求的其他组件可能受此漏洞影响,如Drupal。

风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)

威胁评估

1.Drupal Guzzle信息泄露漏洞(CVE-2022-31042)

漏洞名称

Drupal Guzzle信息泄露漏洞(CVE-2022-31042)

CVE编号

CVE-2022-31042

其他编号

QVD-2022-8934

CVSS 3.1评级

高危

CVSS 3.1分数

7.5

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不变

完整性影响(I

可用性影响(A

危害描述

Guzzle存在信息泄露漏洞,攻击者可利用此漏洞泄露Cookie标头。

2.Drupal Guzzle信息泄露漏洞(CVE-2022-31043)

漏洞名称

Drupal Guzzle信息泄露漏洞(CVE-2022-31043)

CVE编号

CVE-2022-31043

其他编号

QVD-2022-8935

CVSS 3.1评级

高危

CVSS 3.1分数

7.5

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不变

完整性影响(I

可用性影响(A

危害描述

Guzzle存在信息泄露漏洞,攻击者可利用此漏洞泄露Authorization标头。

处置建议

请尽快升级至安全版本:

1.如果您使用的是 Drupal 9.4,请更新到Drupal 9.4.0-rc2

2.如果您使用的是 Drupal 9.3,请更新到Drupal 9.3.16

3.如果您使用的是 Drupal 9.2,请更新到Drupal 9.2.21

请注意,9.2.x 之前的所有 Drupal 9 版本都已结束生命周期,Drupal 8 已经停止维护。Drupal 7 不受漏洞影响。

高级用户也可以通过暂时使用drupal/core而不是drupal/core-recommended 然后将 Guzzle 更新到所需版本来解决此问题(Guzzle 用户可升级至Guzzle 6.5.7 或 7.4.4安全版本)。

用户可参考以下链接获取更多信息:

https://www.drupal.org/sa-core-2022-011

参考资料

[1]https://www.drupal.org/sa-core-2022-011

[2]https://github.com/guzzle/guzzle/security/advisories/GHSA-f2wf-25xc-69c9

[3]https://github.com/guzzle/guzzle/security/advisories/GHSA-w248-ffj2-4v5q

时间线

2022年6月14日,奇安信 CERT发布安全风险通告

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。