Drupal Guzzle 多个信息泄露漏洞安全风险通告

2022-06-14486

一、背景介绍

6月14日,市委网信办技术支撑单位监测到Drupal 官方发布通告,由于Drupal 使用 Guzzle库来处理对外部服务的HTTP请求和响应,因而会受到Guzzle信息泄露漏洞(包括 CVE-2022-31042和CVE-2022-31043)的影响,攻击者可利用这些漏洞泄露 cookie 或 Authorization标头。目前,官方已有可更新版本,建议用户尽快升级至最新版本。 

1.1漏洞描述

1.1.1CVE-2022-31042:Guzzle中存在信息泄露漏洞,当使用 https 协议向服务器发起请求,服务器使用 http协议重定向到某个URI进行响应,或重定向到另一个主机的URI进行响应时,在这个过程中任何手动添加到初始请求的“cookie”头不会被删除,会进行转发。

1.1.2 CVE-2022-31043:Guzzle 6.5.6及之前版本、7.0.0到7.4.3版本中存在信息泄露漏洞,当使用 https协议向服务器发出请求,服务器重定向到http协议的 URI 进行响应时,从https到http的降级过程中不会删除Authorization标头,Authorization标头也会被转发。

1.2漏洞编号

CVE-2022-31042

CVE-2022-31043

1.3漏洞等级

高危


二、修复建议

2.1影响版本

2.1.1 CVE-2022-31042

Guzzle ≤ 6.5.6

7.0.0 ≤ Guzzle ≤ 7.4.3

2.1.2 CVE-2022-31043

Guzzle ≤ 6.5.6 

7.0.0 ≤ Guzzle ≤ 7.4.3

2.2修复建议

2.2.1请尽快升级至安全版本: 

1. 如果您使用的是 Drupal 9.4,请更新到 Drupal 9.4.0-rc2 

2. 如果您使用的是 Drupal 9.3,请更新到 Drupal 9.3.16 

3. 如果您使用的是 Drupal 9.2,请更新到 Drupal 9.2.21 

2.2.2高级用户也可以通过暂时使用 drupal/core 而不是 drupal/core-recommended 然后将 Guzzle 更新到所需版本来解决此问题(Guzzle 用户可升级至 Guzzle 6.5.7或 7.4.4安全版本)。