Il progetto Drupal sta sollecitando sito web admin per installare gli aggiornamenti subito dopo la divulgazione di un altamente critici per l’esecuzione di codice remoto bug che interessa il core di Drupal CMS.
Il bug è stato considerato abbastanza grave per Drupal team di sicurezza per avvertire gli amministratori di un giorno in anticipo di mercoledì rilascio delle patch a riservare del tempo per risolvere il bug.
Drupal è il terzo più popolare CMS per la pubblicazione del sito web, che rappresentano circa il tre per cento del miliardo di siti web più. Gli hacker potrebbero utilizzare il difetto, tracciati come CVE-2019-6340, di dirottare un sito Drupal e, potenzialmente, di prendere il controllo di un server web.
Secondo Drupal, il bug è dovuto ad alcuni tipi di file non correttamente sanificazione dati non-modulo di fonti, come i servizi web RESTful. Questo errore può portare a codice PHP arbitrario di esecuzione, avverte.
Fino a quando un aggiornamento a una versione sicura può essere completato, gli amministratori possono mitigare il bug disabilitando tutti i servizi web di moduli per Drupal consultivo. Gli amministratori possono anche ridurre i bug non consentendo di METTERE/PATCH/POST le richieste ai servizi web di risorse.
Interessato rami del core di Drupal includono Drupal 8.6.x e Drupal 8.5.x e versioni precedenti. Gli amministratori dovrebbero aggiornare immediatamente per ogni ramo versioni fisse, che sono Drupal 8.6.10 e Drupal 8.5.11.
I siti sono interessato solo se il Drupal 8 core, RESTful Web Services (rest) modulo è abilitato e permette di PATCH o POST di richieste. Anche colpiti sono i siti con altri servizi web, moduli attivati, ad esempio JSON:API di Drupal 8, nonché il modulo di Servizio o i Servizi RESTful Web del modulo in Drupal 7.
Drupal avverte che dopo l’aggiornamento del core di Drupal, amministratori, sarà necessario installare gli aggiornamenti di sicurezza per i più interessati di terze parti Drupal progetti. Questi includono il tipo di Carattere Impressionante Icone, di Translation Management Tool, Paragrafi, Video, Metatag, Link, JSON:le API e i Servizi RESTful Web.
Drupal 7 core, che in realtà non hanno bisogno di essere aggiornato, ma Drupal avverte che alcuni dei suddetti terzi progetti per Drupal 7, dovranno essere aggiornati.
Il bug è stato scoperto da Drupal team di sicurezza, quindi è probabile che il bug non è ancora stata sfruttata. Ma, data la gravità del problema e della pre-release di avviso, sembrerebbe che il progetto prevede che il bug può essere sfruttato nel prossimo futuro.
Negli ultimi mesi, gli hacker hanno fatto uso di Drupal siti che non è possibile installare gli aggiornamenti per affrontare diverse ‘Drupalgeddon 2’ difetti che sono stati resi noti la scorsa primavera. Gli attacchi rivolti principalmente per installare crypto-valuta i minatori interessati server web.
Gli aggressori avevano un sacco di Drupal siti per lavorare. La ricerca ha trovato più di 100.000 siti erano ancora in esecuzione una delle versioni del CMS vulnerabili a Drupalgeddon 2 bug tre mesi dopo le versioni fisse era stato rilasciato.
Precedente e relativa copertura
Gli hacker utilizzano Drupalgeddon 2 e Sporco MUCCA exploit di prendere in consegna i server web
Hack potrebbe essere facilmente evitato se la gente si sarebbe patch Drupal Cms e web server Linux.
Tre mesi Drupal vulnerabilità viene utilizzato per distribuire malware cryptojacking
L’aggiornamento è stato considerato critico, ma gli utenti che non hanno applicato le patch sono presi di mira da malintenzionati distribuzione di cryptocurrency minatori.
Circa il 62 per cento di tutti i siti Internet esegui una nuova versione di PHP in 10 settimane
Il popolare PHP 5.x ramo per interrompere la ricezione di aggiornamenti di sicurezza alla fine dell’anno.
Oltre 115.000 Drupal siti ancora vulnerabile a critiche difetto
Almeno alta 1.885 vulnerabili siti Alexa superiore a un milione di siti.
Drupal patch critiche CMS vulnerabilità
Il bug includere codice errato, la gestione e l’accesso bypass falle di sicurezza.
Hello Kitty: Malware obiettivi di Drupal per la mia per cryptocurrency
Il Gattino malware non solo gli obiettivi i server del sito web e visitatori, ma lascia anche un impertinente nota per gli amanti dei gatti.
Drupalgeddon 2 scatenando il caos su 900+ siti, perché ancora non ha applicato gli aggiornamenti TechRepublic
Nonostante il fatto che Drupal exploit è stato riferito-e patched-a Marzo 2018, alcuni 115,000 siti web sono ancora vulnerabili.
Google prende di mira siti web fraudolenti che con il nuovo Chrome avviso CNET
Perché la maggior parte delle persone non si accorgono di quando sono nel sito sbagliato.
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati