一、背景介绍
6月14日,市委网信办技术支撑单位监测到Drupal 官方发布通告,由于Drupal 使用 Guzzle库来处理对外部服务的HTTP请求和响应,因而会受到Guzzle信息泄露漏洞(包括 CVE-2022-31042和CVE-2022-31043)的影响,攻击者可利用这些漏洞泄露 cookie 或 Authorization标头。目前,官方已有可更新版本,建议用户尽快升级至最新版本。
1.1漏洞描述
1.1.1CVE-2022-31042:Guzzle中存在信息泄露漏洞,当使用 https 协议向服务器发起请求,服务器使用 http协议重定向到某个URI进行响应,或重定向到另一个主机的URI进行响应时,在这个过程中任何手动添加到初始请求的“cookie”头不会被删除,会进行转发。
1.1.2 CVE-2022-31043:Guzzle 6.5.6及之前版本、7.0.0到7.4.3版本中存在信息泄露漏洞,当使用 https协议向服务器发出请求,服务器重定向到http协议的 URI 进行响应时,从https到http的降级过程中不会删除Authorization标头,Authorization标头也会被转发。
1.2漏洞编号
CVE-2022-31042
CVE-2022-31043
1.3漏洞等级
高危
二、修复建议
2.1影响版本
2.1.1 CVE-2022-31042
Guzzle ≤ 6.5.6
7.0.0 ≤ Guzzle ≤ 7.4.3
2.1.2 CVE-2022-31043
Guzzle ≤ 6.5.6
7.0.0 ≤ Guzzle ≤ 7.4.3
2.2修复建议
2.2.1请尽快升级至安全版本:
1. 如果您使用的是 Drupal 9.4,请更新到 Drupal 9.4.0-rc2
2. 如果您使用的是 Drupal 9.3,请更新到 Drupal 9.3.16
3. 如果您使用的是 Drupal 9.2,请更新到 Drupal 9.2.21
2.2.2高级用户也可以通过暂时使用 drupal/core 而不是 drupal/core-recommended 然后将 Guzzle 更新到所需版本来解决此问题(Guzzle 用户可升级至 Guzzle 6.5.7或 7.4.4安全版本)。