Nul
Drupal har lappet flere sårbarheder i CMS-platform, hvoraf nogle anses for kritisk.
Tidligere i denne uge, open-source content management system (CMS) udbyder udstedt en security advisory beskriver en række fejl, som nu er blevet løst.
De sårbarheder indvirkning version 7 af platformen, sammen med Drupal 8 op til version 8.4.
Den første kritiske sårbarhed, som påvirker Drupal 8, tillader brugere med tilladelse til at poste kommentarer for at få vist indhold og kommentar, de ikke burde have adgang til, samt tilføje kommentarer til dette indhold.
Den anden kritiske sikkerhedshul, som påvirker begge versioner, er der en ufuldstændig JavaScript funktion, som ikke håndteres korrekt injektion af skadelig HTML-kode.
Hvis det udnyttes, vil dette kunne føre til cross-site scripting fejl under visse omstændigheder.
To andre sårbarheder, der blev opdaget i Drupal version 7, er blevet vurderet til at være moderat kritisk, og de er blevet løst i denne sikkerhedsopdatering. Den første fejl er en adgang omgå problemet, når brugerne beder om adgang til filer under visse betingelser, og det andet problem er en jQuery cross-site scripting sårbarhed, der opstår, når Ajax anmodninger er lavet til ikke-betroede domæner.
Den anden fejl var rettet i Drupal 8.4.0 og den nuværende Drupal 7.57 overgang til jQuery 1.4.4, der blev leveret sammen med Drupal 7 kerne.
Se også: Drupal patches kritiske adgang omgå fejl i motoren kerne
Et andet sikkerhedsproblem, der er løst i opdateringen på Drupal version 8 platform opstår, når node få adgang til kontrol interagere med en flersproget hjemmeside. Oversatte versioner af den node, der er markeret som standard-fallback, men når det bruges til sprog, uden at en oversat version af den node, kan dette resultere i adgang omgå problemer.
En anden fejl i Drupal version 8 blev opdaget i Indstillinger Skuffe modul. Det sikkerhedshul giver brugerne mulighed for at opdatere skal du vælge data, som de ikke har de korrekte tilladelser til.
Dette problem kan mindskes, men ved at deaktivere modulet.
Den sidste fejl, der anses for at være af en lavere risiko end nogen af de andre problemer rettet i denne opdatering, gør det muligt for angribere at narre besøgende på en Drupal 7 domæne til at besøge et eksternt websted.
For at løse disse problemer, Drupal anmoder om, at brugerne opdaterer med det samme. Version 7, skal være opdateret til Drupal 7.57, og version 8 skal være opdateret til Drupal 8.4.5.
I August, Drupal lappet en række af de kritiske sårbarheder, som påvirkede den platform core engine. Den mest alvorlige sikkerhedshul var en access-bypass spørgsmål, som gjorde det muligt for angribere at få vist, oprette, opdatere eller slette enheder i Drupal få adgang til systemet.
Tidligere og relaterede dækning
Drupal patches 10 sikkerhedshuller, kritiske spørgsmål nordkoreanske Reaper anvender APT zero-day-sårbarheder til at udspionere regeringer Zerodium tilbyder $45,000 for Linux zero-day-sårbarheder
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0