Drupal KRITIKUS sérülékenysége

CH azonosító

CH-13420

Angol cím

Drupal critical vulnerability

Felfedezés dátuma

2016.07.18.

Súlyosság

Kritikus

Érintett rendszerek

Drupal

Érintett verziók

Drupal core 8.x (8.1.7 előtti verziók).

Összefoglaló

A Drupal kritikus besorolású sérülékenysége vált ismerté, amelyet kihasználva rosszindulatú távoli felhasználó képes lehet eltéríteni a HTTP forgalmat egy tetszőleges proxy szerver felé. A sérülékenységet kiküszöbölő megoldás már elérhető a gyártó honlapján.

Leírás

A hiba a PHP Guzzle HTTP kliens működésében található, ami szerver-oldali HTTP kérések kezelésére használatos. A támadó képes lehet közbeékelni egy proxy szervert, amelynek következtében lehallgathatja a forgalmat. 

A probléma hátterében egy névütközésből eredő, (több programnyelvet is érintő) implementációs hiba áll, erről az alábbi hivatkozáson érhető el bővebb információ:

http://tech.cert-hungary.hu/vulnerabilities/CH-13419

Megoldás

  • Drupal 8.x használata esetén frissítsen a legújabb verzióra (Drupal core 8.1.7
  • Megkerülő megoldásként tiltsa le a ‘Proxy header’-t (lásd: ‘Hivatkozások alatt #fix-now‘).
  • Habár a Drupal 7.x nem érintett a sérülékenységben, a megkerülő megoldást ebben az esetben is célszerű alkalmazni!

Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2022-45124 – wellintech / kinghistorian sérülékenysége
Tovább a sérülékenységekhez »