Összefoglaló
A Drupal fejlesztői több sebezhetőséget orvosoltak.
Leírás
A javított hibák elsősorban jogosulatlan műveletvégrehajtásra és az érintett weboldalak megbénítására adhatnak lehetőséget a támadók számára.
Az egyik sérülékenység azokat a weboldalakat sújtja, amelyek HTTP és HTTPS (“mixed-mode”) révén is szolgáltatnak tartalmat. A hiba elsősorban a Drupal 7 esetében jelent kockázatot, de vannak olyan támadási módszerek, amik a Drupal 6 kapcsán is veszélyt jelenthetnek.
A fejlesztők egy olyan biztonsági rést is befoltoztak, amely kizárólag a Drupal 7-ben van jelen, és a jelszavak hash-eléséért felelős API kapcsán merült fel. E hiba az oldalak összeomlását, válaszképtelenné válását idézheti elő a CPU és a memória felemésztésével.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A Drupal 6.34-es vagy 7.34-es verziójára történő frissítés.
A session.inc és a password.inc fájlok ellenőrzése.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Information disclosure (Információ/adat szivárgás)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.isbk.hu
Gyártói referencia: www.drupal.org