CH azonosító
CH-8923Angol cím
Drupal RESTful Web Services Module Page Cache Data Manipulation VulnerabilityFelfedezés dátuma
2013.04.10.Súlyosság
AlacsonyÉrintett rendszerek
DrupalRESTful Web Services Module
Érintett verziók
Drupal RESTful Web Services Module 7.x
Összefoglaló
A Drupal RESTful Web Services bővítmény egy sérülékenységét jelentették, amit kihasználva a támadók módosíthatnak bizonyos adatokat.
Leírás
A sérülékenységet egy nem részletezett hiba okozza, amit kihasználva meg lehet mérgezni a cache-t nem-HTML tartalommal, ennek következtében pedig szolgáltatás megtagadást lehet előidézni (DoS – Denial of Service).
A sérülékenység sikeres kihasználásához szükséges, hogy a page cache engedélyezve legyen az anonymous felhasználók számára (alapértelmezetten tiltott), valamint az anonymous felhasználók jogosultságai közt legyen például a “access resource node” RESTWS jogosultság.
A sérülékenységet a 7.x-1.3 előtti 7.x-1.x verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Misconfiguration (Konfiguráció)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 52975