Összefoglaló
A Drupal tartalomkezelő rendszer több sérülékenysége vált ismertté, amelyek cache poisoning és DoS támadást tesznek lehetővé.
Leírás
A Drupal lehetőséget ad egy táblázat módosítására, mielőtt a SELECT kérések végrehajtódnak. Bizonyos függvények nem megfelelő kezelése miatt a jogosulatlan felhasználók információkat szerezhetnek az adatbázisból.
A felhasználói jelszó alaphelyzetbe állítása űrlap nem megfelelő cache kezelése cache poisoning-hoz és nemkívánt tartalom megjelenéséhez vezethet.
Bizonyos körülmények között a rosszindulatú felhasználók egy speciálisan összeállított URL segítségével egy harmadik – potenciálisan adathalász – weboldalra irányíthatják át a felhasználót.
Egy speciálisan összeállított URL segítségével szolgáltatás-megtagadás érhető el.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítsen a 7.52, illetve a 8.2.3 verzióra.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: www.drupal.org
CVE-2016-9449 - NVD CVE-2016-9449
CVE-2016-9450 - NVD CVE-2016-9450
CVE-2016-9451 - NVD CVE-2016-9451
CVE-2016-9452 - NVD CVE-2016-9452