【安全通告】Yii2 反序列化远程命令执行漏洞 (CVE-2020-15148) 防护方案
2020-09-21
一. 综述
近日监测到,Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。
官方通过给yii\db\BatchQueryResult类加上__wakeup()函数,禁用了yii\db\BatchQueryResult的反序列化,阻止了应用程序对任意用户输入调用'unserialize()’造成的远程命令执行。
Yii2 是一个高性能,基于组件的开源 PHP 框架,用于快速开发现代 Web 应用程序。
目前,官方已发布修复了漏洞的新版本。海王捕鱼检测防护产品已针对该漏洞提供能力,建议相关用户尽快采取防护措施。
参考链接:
https://github.com/yiisoft/yii2/blob/928b511d75ee719cd4007f220eafce9eab4d1b4a/framework/CHANGELOG.md
https://github.com/yiisoft/yii2/security/advisories/GHSA-699q-wcff-g9mj
二. 漏洞影响范围
l Yii2 Version < 2.0.38
三. 技术防护方案
3.1 官方修复方案
官方已发布修复了漏洞的新版本2.0.38。
下载链接:
https://github.com/yiisoft/yii2/releases/tag/2.0.38
3.2 海王捕鱼检测防护建议
3.2.1 海王捕鱼检测类产品与服务
内网资产可以使用海王捕鱼的远程安全评估系统(RSAS V6)、Web应用漏洞扫描系统(WVSS)、入侵检测系统(IDS)、统一威胁探针(UTS)进行检测。
远程安全评估系统(RSAS V6)
http://update.nsfocus.com/update/listRsas
Web应用漏洞扫描系统(WVSS)
http://update.nsfocus.com/update/listWvss
入侵检测系统(IDS)
http://update.nsfocus.com/update/listIds
统一威胁探针(UTS)
http://update.nsfocus.com/update/bsaUtsIndex
3.2.1.1 检测产品升级包/规则版本号
|
检测产品 |
升级包/规则版本号 |
|
RSAS V6 web插件 |
V6.0R02F00.1816 |
|
WVSS |
V6.0R03F00.182 |
|
IDS |
5.6.9.23576、5.6.10.23576 |
|
UTS |
5.6.10.23576 |
3.2.2 海王捕鱼防护类产品
使用海王捕鱼防护类产品,入侵防护系统(IPS)、下一代防火墙系统(NF)、Web应用防护系统(WAF)来进行防护。
入侵防护系统(IPS)
http://update.nsfocus.com/update/listIps
下一代防火墙系统(NF)
http://update.nsfocus.com/update/listNf
Web应用防护系统(WAF)
http://update.nsfocus.com/update/wafIndex
3.2.2.1 防护产品升级包/规则版本号
|
防护产品 |
升级包/规则版本号 |
规则编号 |
|
IPS |
5.6.9.23576、5.6.10.23576 |
25037 |
|
NF |
6.0.1.828、6.0.2.828 |
25037 |
|
WAF |
6.0.7.0.46432、6.0.7.1.46432 |
27005015 |
四. 附录 产品/平台使用指南
4.1 RSAS扫描配置
在系统升级中,点击下图红框位置选择文件。
选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此漏洞进行扫描。
4.2 WVSS扫描配置
在WVSS的系统升级界面,点击下图红框位置选择文件,进行升级:
选择下载好的相应升级包,点击升级按钮进行手动升级。等待升级完成后,可通过定制扫描模板,针对此次漏洞进行扫描。
4.3 UTS检测配置
在系统升级中点击离线升级,选择规则升级文件,选择对应的升级包文件,点击上传,并等待升级成功即可。
4.4 IPS防护配置
在系统升级中点击离线升级,选择系统规则库,选择对应的文件,点击上传。
更新成功后,在系统默认规则库中查找规则编号,即可查询到对应的规则详情。
注意事项:该升级包升级后引擎自动重启生效,不会造成会话中断,但ping包会丢3~5个,请选择合适的时间升级。
4.5 NF防护配置
在 NF 的规则升级界面进行升级:
手动选择规则包,提交即可完成更新。
4.6 WAF防护配置
在WAF的规则升级界面进行升级:
手动选择规则包,提交即可完成更新。
4.7 声 明
本安全公告仅用来描述可能存在的安全问题,海王捕鱼不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海王捕鱼以及安全公告作者不为此承担任何责任。海王捕鱼拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经海王捕鱼允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于海王捕鱼
海王捕鱼集团股份有限公司(简称海王捕鱼)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,海王捕鱼在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
海王捕鱼集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:海王捕鱼,股票代码:300369。
