将在2018年的4月25号,16:00 - 18:00 UTC, 标准时间,Drupal安全团队将会发布一个新的安全版本,这个安全更新,不属于Drupal的周期性的版本更新。对于所有的安全更新,Drupal安全团队,提醒您,第一时间更新代码。Drupal的安全更新,一经发布,里面的补丁所涉及的代码,就会被黑客利用,进而开发出来攻击Drupal网站的程序。这个过程可能会很快,几个小时,几天,黑客的渗透程序就会开发完毕。
4月25号, 2018 PSA-2018-003的安全更新,是对SA-CORE-2018-002后续改进升级。
对于7.x, 8.5.x的Drupal网站,只需要按照日常的更新即可,仅有安全代码更新,没有数据库的变更。
对于Drupal8.4.x的请,第一时间升级到8.4.8,尽快升级到8.5.3;对于Drupal8.3的用户,请第一时间升级到8.4.8,尽快升级到8.5.3.
对于Drupal6用户,请第一时间,升级到Drupal7.x的最新版本。
作者 老葛 亚艾元软件
Drupal6网站,
请您第一时间关闭网站,做好备份,让专业人员第一时间为您升级到Drupal7.
Drupal7网站,
请您第一时间升级到Drupal7的最新版本,目前为7.58两天之后,尽快升级到7.59。
升级步骤:
1, 下载Drupal7.58,解压缩。
2, 将Drupal7最新代码上传到你的网站根目录下面,替换即可。
3, 运行update.php
99.9%上述步骤没有问题。如果有问题,请第一时间联系专业人员。.
老葛,亚艾元软件
Drupal在2018年3月28日发布了一个安全更新补丁,同时提醒大家,以前的版本存在SA-CORE-2018-002号安全漏洞,这个漏洞是Drupal资深开发人员,芬兰的Jasper Mattsson率先发现,并协助Drupal核心团队修复的。在Drupal安全团队修正了这个漏洞以后,立即发布了安全升级版本。提醒所有Drupal用户尽快安全升级。
https://www.drupal.org/sa-core-2018-002
对于这个安全漏洞,我们当时第一时间做了检查,我核对了Drupal代码里面的补丁代码,对它有所了解,这个是由于Drupal的表单机制,#符号有特殊的含义。黑客可以借助于这个地方的弱点渗透过来。但是需要熟悉Drupal机制的人,才能黑过来。
两周过后,大概,Drupal社区团队,发布了后续的安全预计升级,提升了此前的安全等级。因为黑客市场上,已经有公开的攻击Drupal这个漏洞的代码了。
计划实现用户访问网站url里面,如果带有不带有portal字符,都看到同样的内容。用户的浏览器不用跳转。
采用重定向实现的话,就比较简单,如果不重定向的话,就比较麻烦,查找了很多资料,阅读了官方文档,最后找到了,使用代理的方式,不过这里是自己代理自己。
RewriteCond %{REQUEST_URI} ^(.*)?/(portal)/(node)/(.*)
RewriteRule ^ "http://localhost/xqipu/node/%4" [P]
需要在httpd.conf文件中启用 :
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
否则会报错:
最近有多个Drupal网站被黑了,其中一个症状,首次访问首页面,会跳转到别的页面,黑客页面。第二次访问正常。
这个极有隐蔽性,刚开始我还以为是浏览器点错了呢,因为后面就正常,后来检查,发现页面被注入JS代码。类似这样的代码:
系统报了这样的错我
Warning: session_id(): Cannot change session id when headers already sent 在 drupal_session_initialize() (行 266 在 /includes/session.inc).
Warning: session_set_save_handler(): Cannot change save handler when headers already sent 在 drupal_session_initialize() (行 242 在 /includes/session.inc).
这个错误引起的原因很多。比如memory limit过小,参数 session.auto_start设置为了真。
从代码里面我们可以看出,对于请求参数里面的#字符,这里添加了限制。Drupal的表单API,呈现数组里面的key都是以#开头的,对于以#开头的数据,Drupal以前默认未加过滤清理,导致黑客可以借助这里,植入代码。 Drupal7补丁地址
https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5
Drupal8补丁地址:
用户的Drupal8多语言网站,里面的多语言切换的区块,英文总是显示“English(英文)”,想把它给改掉,但是不行。
这个区块由language模块提供,我们检查了这个模块的源代码,写的比较抽象:
public function build() {
$build = [];
$route_name = $this->pathMatcher->isFrontPage() ? '<front>' : '<current>';
$type = $this->getDerivativeId();
$links = $this->languageManager->getLanguageSwitchLinks($type, Url::fromRoute($route_name));
if (isset($links->links)) {
$build = [
