尊敬的用户：

您好！Drupal官方发布了一个编号为：CVE-2017-6920的漏洞。该漏洞是由于DrupalCore的YAML解析器处理不当所导致的一个远程代码执行漏洞，影响8.x的DrupalCore，安全风险较高。

为避免您的业务受影响，我们建议您及时开展自查，并尽快推动内部PHP相关业务排查和Drupal升级更新，详细参见如下指引说明：

【漏洞概述】

该漏洞是由于DrupalCore的YAML解析器在处理不安全的PHP对象句柄时，通过远程代码执行，进行高危行为操作；

【风险等级】

高风险

【漏洞影响】

可远程利用导致远程代码执行；

【影响版本】

DrupalCore8.x版本；

【漏洞检测】

登陆Drupal管理后台，查看内核版本是8.x，且版本号低于8.3.4，则存在该漏洞；否则，不存在该漏洞；

【修复建议】

1）  根治措施：

目前官方已经发布了Drupal 8.3.4 修复了该漏洞，强烈建议用户升级；

2）  临时措施：

升级Drupal文件“/core/lib/Drupal/Component/Serialization/YamlPecl.php”中的decode函数如下：

                  public static function decode($raw) {

              static $init;

                     if (!isset($init)) {

                     // We never want to unserialize!php/object.

                     ini_set('yaml.decode_php', 0);

                     $init = TRUE;}

                     // yaml_parse() will error with an emptyvalue.

                     if (!trim($raw)) {

                     return NULL;

                     }

                     ......

                }

3）  建议用户不要开放管理后台，避免暴力破解或web攻击直接入侵后台，同时建议用户定期更新最新版本程序，防止出现漏洞。

【相关参考】

1）https://www.drupal.org/SA-CORE-2017-003

2）http://paper.seebug.org/334/