近日,奇安信CERT监测到Drupal官方发布通告,由于Drupal使用Guzzle库来处理对外部服务的 HTTP 请求和响应,因而会受到Guzzle信息泄露漏洞(包括CVE-2022-31042和CVE-2022-31043)的影响,攻击者可利用这些漏洞泄露cookie 或Authorization标头。目前,官方已有可更新版本,建议用户尽快升级至最新版本。
1.Drupal Guzzle信息泄露漏洞(CVE-2022-31042)
漏洞名称 | Drupal Guzzle信息泄露漏洞(CVE-2022-31042) | ||
公开时间 | 2022-06-10 | 更新时间 | 2022-06-14 |
CVE编号 | CVE-2022-31042 | 其他编号 | QVD-2022-8934 |
威胁类型 | 信息泄露 | 技术类型 | 信息暴露 |
厂商 | 开源产品 | 产品 | Guzzle |
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未知 | 未知 | 未知 | 未知 |
漏洞描述 | Guzzle中存在信息泄露漏洞,当使用https协议向服务器发起请求,服务器使用http协议重定向到某个URI进行响应,或重定向到另一个主机的URI进行响应时,在这个过程中任何手动添加到初始请求的“cookie”头不会被删除,会进行转发。 | ||
影响版本 |
| ||
不受影响版本 |
| ||
其他受影响组件 | 使用Guzzle进行传出请求的其他组件可能受此漏洞影响,如Drupal。 | ||
2.Drupal Guzzle信息泄露漏洞(CVE-2022-31043)
漏洞名称 | Drupal Guzzle信息泄露漏洞(CVE-2022-31043) | ||
公开时间 | 2022-06-10 | 更新时间 | 2022-06-14 |
CVE编号 | CVE-2022-31043 | 其他编号 | QVD-2022-8935 |
威胁类型 | 信息泄露 | 技术类型 | 信息暴露 |
厂商 | 开源产品 | 产品 | Guzzle |
风险等级 | |||
奇安信CERT风险评级 | 风险等级 | ||
高危 | 蓝色(一般事件) | ||
现时威胁状态 | |||
POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
未知 | 未知 | 未知 | 未知 |
漏洞描述 | Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞,当使用https协议向服务器发出请求,服务器重定向到http协议的URI进行响应时,从https到http的降级过程中不会删除 Authorization标头,Authorization 标头也会被转发。 | ||
影响版本 |
| ||
不受影响版本 |
| ||
其他受影响组件 | 使用Guzzle进行传出请求的其他组件可能受此漏洞影响,如Drupal。 | ||
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
威胁评估
1.Drupal Guzzle信息泄露漏洞(CVE-2022-31042)
漏洞名称 | Drupal Guzzle信息泄露漏洞(CVE-2022-31042) | |||
CVE编号 | CVE-2022-31042 | 其他编号 | QVD-2022-8934 | |
CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 7.5 | |
CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | ||
网络 | 低 | |||
所需权限(PR) | 用户交互(UI) | |||
不需要 | 不需要 | |||
影响范围(S) | 机密性影响(C) | |||
不变 | 高 | |||
完整性影响(I) | 可用性影响(A) | |||
无 | 无 | |||
危害描述 | Guzzle存在信息泄露漏洞,攻击者可利用此漏洞泄露Cookie标头。 | |||
2.Drupal Guzzle信息泄露漏洞(CVE-2022-31043)
漏洞名称 | Drupal Guzzle信息泄露漏洞(CVE-2022-31043) | |||
CVE编号 | CVE-2022-31043 | 其他编号 | QVD-2022-8935 | |
CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 7.5 | |
CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | ||
网络 | 低 | |||
所需权限(PR) | 用户交互(UI) | |||
不需要 | 不需要 | |||
影响范围(S) | 机密性影响(C) | |||
不变 | 高 | |||
完整性影响(I) | 可用性影响(A) | |||
无 | 无 | |||
危害描述 | Guzzle存在信息泄露漏洞,攻击者可利用此漏洞泄露Authorization标头。 | |||
处置建议
请尽快升级至安全版本:
1.如果您使用的是 Drupal 9.4,请更新到Drupal 9.4.0-rc2
2.如果您使用的是 Drupal 9.3,请更新到Drupal 9.3.16
3.如果您使用的是 Drupal 9.2,请更新到Drupal 9.2.21
请注意,9.2.x 之前的所有 Drupal 9 版本都已结束生命周期,Drupal 8 已经停止维护。Drupal 7 不受漏洞影响。
高级用户也可以通过暂时使用drupal/core而不是drupal/core-recommended 然后将 Guzzle 更新到所需版本来解决此问题(Guzzle 用户可升级至Guzzle 6.5.7 或 7.4.4安全版本)。
用户可参考以下链接获取更多信息:
https://www.drupal.org/sa-core-2022-011
参考资料
[1]https://www.drupal.org/sa-core-2022-011
[2]https://github.com/guzzle/guzzle/security/advisories/GHSA-f2wf-25xc-69c9
[3]https://github.com/guzzle/guzzle/security/advisories/GHSA-w248-ffj2-4v5q
时间线
2022年6月14日,奇安信 CERT发布安全风险通告
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
