Összefoglaló
A Drupal kapcsán fontos hibajavítások váltak elérhetővé. A frissítéseknek köszönhetően olyan sebezhetőségek orvosolhatóak, amelyek SQL injection alapú támadásokra, XSS-károkozásokra, biztonsági szabályok megkerülésére és adatlopásra is módot adhatnak.
Leírás
A fejlesztők az alábbi összetevők, funkció kapcsán javítottak sérülékenységeket:
- Ajax alrendszer – Drupal.ajax()
- Database API
- Form API
- Autocomplete modul
- Menu Links (hozzáféréskezelés)
A felsorolt összetevők közül az első kettő sérülékenységet kizárólag a Drupal 7 alatt lehet kihasználni.
Megoldás
A Drupal 6.37-es vagy a 7.39-es verzióira való frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
SQL Injection
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
Egyéb referencia: isbk.hu