Összefoglaló
A Drupal kritikus besorolású sérülékenységei váltak ismerté, melyeket kihasználva a támadó, átveheti a weboldal feletti irányítást. A sérülékenységet kiküszöbölő megoldás már elérhető a gyártó honlapján.
Leírás
A legsúlyosabb hiba egy from API hozzáférés megkerülés, mely a Drupal 6-os verzióját érinti. A támadó a hibát kihasználva tetszőleges bemenetet küldhet a weboldalra olyan gombbal, melynek a nem rendszergazdáknál tiltva kellene lennie. A sérülékenység csak akkor használható ki, ha egy azon formot a rendszargazda és a támadó is elérhet.
A további közepesen kritikus besorolású hibák pedig az alábbi komponenseket érintik:
- File (Hozzáférés megkerülés, és DoS Drupal 7 and 8 esetében)
- XML-RPC server (próbálkozásos jelszófeltörés Drupal 6 és 7 esetében )
- User module (HTTP fejléc beilesztés PHP 5.1.2 előtti verzióiban )
- Drupal 6,7,8 alaprendszerében talált hibák nyílt átirányításra adnak lehetőséget
Ugyancsak az alaprendszerben még további három sérülékenységet is javítottak, melyek kevésbé kritikus besorolásúak.
A Drupal fejlesztői javasolják, hogy amint lehetséges telepítsék az elérhető frissítéseket.
Továbbá figyelmeztetnek, hogy a Drupal 6 támogatási ideje lejárt így a jelenlegi az utolsó kiadott frissítés hozzá. A fejlesztők szerint a Drupal 8-as verziója támogatja a 6-os verzióról való közvetlen migrálást.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
Other (Egyéb)
Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org