Drupal Secure Password Hashes (phpass) modul sérülékenységek

CH azonosító

CH-5133

Angol cím

Drupal Secure Password Hashes (phpass) Module Brute Force and Security Bypass Weaknesses

Felfedezés dátuma

2011.06.30.

Súlyosság

Alacsony

Érintett rendszerek

Drupal
Secure Password Hashes module

Érintett verziók

Drupal Secure Password Hashes (phpass) Module 5.x
Drupal Secure Password Hashes (phpass) Module 6.x

Összefoglaló

A Drupal Secure Password Hashes (phpass) modul olyan sérülékenységei váltak ismertté, amelyeket a támadók kihasználhatnak brute force támadások kezdeményezésére és bizonyos biztonsági szabályok megkerülésére.

Leírás

  1. A jelszó alaphelyzetbe állításának hivatkozásában található egy hiba, ami miatt nem cseréli ki a “pass” attribútumot a jelszó alaphelyzetbe állítás hivatkozásokban, így brute force támadásokkal kihasználható az alaphelyzetbe állító hivatkozások meghatározására.
  2. A felhasználó, amikor jelszavát megváltoztatja az alkalmazás nem érvényteleníti a jelszó alaphelyzetbe állító hivatkozásokat és ez kihasználható a felhasználó fiókjához történő hozzáférésre.

A sérülékenységeket az 5.x-1.5. megelőző és 6.x-1.1. verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra