CH azonosító
CH-5133Angol cím
Drupal Secure Password Hashes (phpass) Module Brute Force and Security Bypass WeaknessesFelfedezés dátuma
2011.06.30.Súlyosság
AlacsonyÉrintett rendszerek
DrupalSecure Password Hashes module
Érintett verziók
Drupal Secure Password Hashes (phpass) Module 5.x
Drupal Secure Password Hashes (phpass) Module 6.x
Összefoglaló
A Drupal Secure Password Hashes (phpass) modul olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak brute force támadások kezdeményezésére és bizonyos biztonsági szabályok megkerülésére.
Leírás
- A jelszó alaphelyzetbe állításának hivatkozásában található egy hiba, ami miatt nem cseréli ki a “pass” attribútumot a jelszó alaphelyzetbe állítás hivatkozásokban, így brute force támadásokkal kihasználható az alaphelyzetbe állító hivatkozások meghatározására.
- A felhasználó, amikor jelszavát megváltoztatja az alkalmazás nem érvényteleníti a jelszó alaphelyzetbe állító hivatkozásokat és ez kihasználható a felhasználó fiókjához történő hozzáférésre.
A sérülékenységeket az 5.x-1.5. megelőző és 6.x-1.1. verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Other (Egyéb)Security bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 45090