Összefoglaló
A Drupal egy kritikus sérülékenységét jelentették, amit kihasználva a támadók tetszőleges kódot hajthatnak végre az áldozat rendszerén.
Leírás
A támadó egy speciálisan megszerkesztett adatcsomag küldésének segítségével tetszőleges kódfuttatást érhet el az érintett rendszeren.
A fejlesztő szerint a hibát már aktívan kihasználják.
Megoldás
Frissítsen a legújabb verzióraMegoldás
7.x, frissítsen a Drupal 7.59.-ra
8.5.x, frissítsen a Drupal 8.5.3.-ra
8.4.x, frissítsen a Drupal 8.4.8.-ra
Drupal 8.4.x nem támogatott többé, így a gyártó alapesetben már nem biztosít biztonsági frissítéseket hozzá. Azonban ebben az esetben rendkívüli a hibajavítást készítettek, amit feltelepíthet 8.4.x környezetbe. A javítás telepítése után gyártó ajánlása szerint frissítsen a 8.4.8, majd 8.5.3-as verzióra.
Amennyiben nem tud azonnali frissítést végrehajtani, vagy az ön által használt Drupal már nem kap biztonsági frissítéseket, próbálja gyártó által biztosított javításokat (8.x 7.x patch) telepíteni amíg teljes frissítést el nem tudja végezni.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
Egyéb referencia: securitytracker.com
CVE-2018-7602 - NVD CVE-2018-7602