Drupal-projektet är att uppmana webbplats administratörer att installera uppdateringar direkt efter att avslöja en mycket kritisk fjärrkörning av kod bugg som påverkar Drupal core CMS.
Felet ansågs vara tillräckligt allvarligt för Drupal: s säkerhetsgrupp för att varna admins en dag i förväg av onsdagens patch release för att boka tid för att åtgärda felet.
Drupal är den tredje mest populära CMS-webbplats för publicering, som står för cirka tre procent av världens miljarder kronor-plus webbplatser. Hackare kan använda för fel, spårade som CVE-2019-6340, för att kapa en Drupal-sajt och eventuellt ta kontroll över en webb-server.
Enligt Drupal, felet är på grund av att vissa filtyper inte ordentligt rensa data från icke-form källor, såsom RESTful web services. Denna brist kan leda till exekvering av godtycklig PHP-kod, det varnar.
Tills en uppdatering till en säker version kan slutföras, admins kan minska felet genom att inaktivera alla web services-moduler, enligt Drupal är rådgivande. Administratörer kan också minska felet genom att förbjuda SÄTTA/PLÅSTER/POST-begäran till web services-resurser.
Berörda grenar av Drupal core inkluderar Drupal 8.6.x och Drupal 8.5.x och tidigare. Administratörer bör omedelbart uppgradera till varje gren fast versioner, vilket är Drupal 8.6.10 och Drupal 8.5.11.
Platser påverkas endast om Drupal 8 core RESTful Web Services (resten) – modulen är aktiverad och låter PATCH eller EFTER önskemål. Också drabbade är områden med andra webbtjänster moduler aktiverade, till exempel JSON API i Drupal 8, samt Service-modul eller RESTful Web Services-modulen i Drupal 7.
Drupal varnar för att efter uppdatering av Drupal core, administratörer kommer att behöva för att installera säkerhetsuppdateringar för flera drabbade tredje part Drupal-projekt. Dessa inkluderar Font Awesome Ikoner, Översättning Verktyg, Stycken, Video, Metatagg, Länk, JSON API, och RESTful Web Services.
Drupal 7 core faktiskt inte behöver uppdateras, men Drupal varnar för att vissa av de ovan nämnda tredje part projekt för Drupal 7 kommer att behöva uppdateras.
Felet upptäcktes av Drupal security team, så är det sannolikt att felet har ännu inte utnyttjats i det vilda. Men med tanke på hur allvarlig bugg och pre-release alert, det verkar projektet förväntar sig att felet skulle kunna utnyttjas i en nära framtid.
Under de senaste månaderna, hackare har varit att använda sig av Drupal-webbplatser som inte installera uppdateringar för att åtgärda flera av de “Drupalgeddon 2′ brister som avslöjades förra våren. Den angriper främst syftar till att installera crypto-valuta gruvarbetare på de drabbade web-servrar.
Angriparna hade massor av Drupal platser att arbeta med. Forskning finns över 100 000 webbplatser fortfarande kör ett versioner av CMS utsatta för Drupalgeddon 2 buggar tre månader efter fasta versioner har släppts.
Tidigare och relaterade täckning
Hackare använder Drupalgeddon 2 och Smutsig KO utnyttjar för att ta över webbservrar
Hacka lätt skulle kunna undvikas om människor skulle patch deras Drupal Cms och Linux-servrar.
Tre månader gamla Drupal sårbarhet används för att distribuera cryptojacking malware
Uppdateringen bedömdes som kritiska, men användare som inte tillämpas plåstret är måltavlan av angripare för att distribuera cryptocurrency gruvarbetare.
Cirka 62 procent av alla Internet-webbplatser kommer att köra en PHP-version som inte stöds i 10 veckor
Den mycket populära PHP 5.x-gren kommer att sluta ta emot uppdateringar i slutet av året.
Över 115 000 Drupal-webbplatser är fortfarande utsatta för kritiska fel
Minst 1,885 utsatta platser i Alexa högst en miljon webbplatser.
Drupal fläckar kritiska sårbarheter CMS
Buggar felaktig kod hantering och tillgång kringgå säkerheten brister.
Hello Kitty: Skadlig kod mål Drupal till gruvan för cryptocurrency
Kitty malware inte bara målen webbservrar och besökare men också lämnar en fräck not för kattälskare där ute.
Drupalgeddon 2 anställer stor förödelse på 900+ webbplatser eftersom DET fortfarande inte tillämpas uppdateringar TechRepublic
Trots att Drupal utnyttja rapporterades-och lappade-i Mars 2018, omkring 115 000 webbplatser är fortfarande sårbar.
Google tar fasta på bedragare webbplatser med nya Chrome-varning CNET
Eftersom de flesta människor inte märker när de är på fel webbplats.
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter