Drupal projektet er at opfordre til hjemmeside-administratorer at installere opdateringer, straks efter at afsløre et meget kritisk fjernkørsel af programkode fejl, der påvirker Drupal kerne CMS.
Fejlen blev betragtet som alvorlige nok til Drupal ‘ s security team til at advare admins en dag i forvejen af onsdag patch release for at reservere tid til at behandle fejl.
Drupal er den tredje mest populære CMS hjemmeside offentliggøre, tegner sig for omkring tre procent af verdens milliarder-plus hjemmesider. Hackere kan bruge den fejl, spores som CVE-2019-6340, at kapre et Drupal site og potentielt tage kontrol af en web-server.
I henhold til Drupal, kan fejlen skyldes, at nogle filtyper, der ikke er korrekt desinfektion data fra ikke-form kilder, såsom RESTful web services. Denne mangel kan føre til udførelse af vilkårlig PHP-kode, der advarer.
Indtil en opdatering til en sikker version kan være afsluttet, admins kan afhjælpe fejlen, ved at deaktivere alle web services moduler, i henhold til Drupal ‘ s rådgivende. Administratorer kan også mindske fejl ved at nægte SÆTTE/PATCH/POST-anmodninger, for at web services ressourcer.
Berørte grene af Drupal core omfatter Drupal 8.6.x og Drupal 8.5.x og tidligere. Admins skal straks at opgradere til hver gren fast versioner, der er Drupal 8.6.10 og Drupal 8.5.11.
Lokaliteterne er kun berørt, hvis Drupal 8 core RESTful Web Services (resten) modulet er aktiveret, og giver mulighed for PLASTER eller POST-anmodninger. Det påvirker også websteder med andre web-tjenester aktiverede moduler, som JSON:API i Drupal 8, samt Service modul eller RESTful Web Services-modul i Drupal 7.
Drupal advarer om, at efter opdatering af Drupal kerne, admins bliver nødt til at installere sikkerhedsopdateringer til flere påvirket tredjeparts-Drupal projekter. Disse omfatter Font Awesome Ikoner, Translation Management-Værktøj, Afsnit, Video, Metatag, Link, JSON:API, og RESTful Web Services.
Drupal 7 core faktisk ikke har brug for at blive opdateret, men Drupal advarer om, at nogle af de ovennævnte tredjeparts-projekter til Drupal 7 bliver nødt til at blive opdateret.
Fejlen blev opdaget af Drupal security team, så det er sandsynligt, at fejlen endnu ikke er blevet udnyttet i naturen. Men i betragtning af den alvorlige fejl og pre-release alarm, det synes projektet forventer, at fejlen kunne blive udnyttet i den nærmeste fremtid.
Over de seneste måneder, hackere har gjort brug af Drupal-sites, der ikke har installeret opdateringer til at tage flere ‘Drupalgeddon 2’ svagheder, der blev offentliggjort sidste forår. Den angriber først og fremmest til formål at installere crypto-valuta minearbejdere på de berørte servere.
Angriberne havde masser af Drupal-sites at arbejde med. Forskning har fundet over 100.000 websteder var stadig kører versioner af CMS sårbare over for Drupalgeddon 2 bugs tre måneder efter rettede versioner var blevet udgivet.
Tidligere og relaterede dækning
Hackere bruger Drupalgeddon 2 og Beskidt KOEN udnytter til at overtage web-servere
Hacks, som nemt kunne undgås, hvis folk ville lappe deres Drupal cms ‘ er og Linux web-servere.
Tre måneder gamle Drupal sårbarhed, der anvendes til at installere malware cryptojacking
Opdateringen blev anset for at være kritisk, men brugere, der ikke har anvendt patch er ved at blive ramt af hackere implementering cryptocurrency minearbejdere.
Omkring 62 procent af alle websteder på Internettet vil køre en ikke-understøttet version af PHP i 10 uger
Den meget populære PHP 5.x filial vil stoppe med at modtage sikkerhedsopdateringer i slutningen af året.
End 115.000 Drupal sites stadig sårbare over for kritiske fejl
Mindst 1,885 sårbare steder er i Alexa top, en millioner websteder.
Drupal patches kritiske sårbarheder CMS
Bugs omfatte forkert kode håndtering og adgang bypass sikkerhedshuller.
Hello Kitty: Malware mål Drupal til mine cryptocurrency
Kitty malware ikke kun mål hjemmeside, servere og besøgende, men også efterlader en fræk bemærkning til katteelskere derude.
Drupalgeddon 2 skaber kaos på 900+ sites, fordi DET stadig ikke er anvendt opdateringer TechRepublic
På trods af det faktum, at Drupal udnytte blev rapporteret-og lappet-i Marts 2018, omkring 115.000 websteder, der stadig er sårbar.
Google tager sigte på bedrager hjemmesider med nye Chrome advarsel CNET
Fordi de fleste mennesker ikke mærke til, når de er på den forkerte hjemmeside.
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre