0
NopSec
Drupal hat ein Sicherheits-update behebt eine Reihe von kritischen Fehlern in der website-management-Plattform, die Kern-engine.
Am Donnerstag, Drupal, einem open-source content-management-system (CMS) von tausenden verwendet zum verwalten der back-end Ihrer Website, veröffentlicht die neueste version der Kanzlei-software, Drupal 8.3.7, zu bekämpfen eine Anzahl von Schwachstellen, die verlassen konnte, die Benutzer ausgesetzt Angriff.
Nach Drupal security advisory, wurden mehrere Verwundbarkeiten entdeckt, die in die CMS-Plattform, von denen einige kritisch sind.
Die schwerwiegendste Schwachstelle, CVE-2017-6925, ist ein Zugriff auf das bypass-bug in der Drupal-8-Core-engine, entity access-system ohne eine Universal Unique Identifier (UUID), die es Angreifern ermöglichen, auf Palette frei in das system. Drupal sagt, dass sollte die Sicherheitsanfälligkeit ausgenutzt werden, die Angreifer sind in der Lage, anzeigen, erstellen, aktualisieren oder löschen von Entitäten.
Ein weiteres ernstes Problem, CVE-2017-6923, ist eine andere access-bypass-Schwachstelle. Tritt das problem auf, wie beim erstellen einer Ansicht in Drupal, können Sie Optional mithilfe von Ajax zu aktualisieren, die Anzeige von Daten über filter-Parameter.
Jedoch, der Blick subsystem mobile nicht beschränken Sie den Zugriff auf die Ajax-Endpunkt nur Ansichten konfiguriert für die Verwendung von Ajax.
Diese Woche, die CMS-Plattform-Anbieter gab auch ein separates security advisory für Drupal-version 7.
Nach der Ankündigung, in den Versionen 7.x – 3.17 sind auch anfällig für die gleiche Ajax-Problem, aber kein CVE-wurde noch nicht ausgestellt. Benutzer von diesem build wurden auch aufgefordert, das Sicherheitsupdate für die views-Modul.
Der Letzte Fehler nun gepatcht die neue Drupal-Version ist CVE-2017-6924, wieder einmal, ein access-bypass-Schwachstelle. Dieser Fehler kann ausgenutzt werden, die über die REST-API, um Benutzern ohne die richtige Ebene der Berechtigung, Kommentare zu hinterlassen, welche automatisch genehmigt.
Aber dies betrifft nur die Drupal baut mit der RESTful-Web-Services (rest) – Modul aktiviert, und wo kann ein Angreifer Zugriff auf ein Benutzerkonto auf der Website mit Berechtigungen, um Kommentare zu posten, oder bei denen anonyme Benutzer dürfen Kommentare schreiben.
Drupal-version 8 vor Drupal 8.3.7 sind anfällig für diese Probleme.
Es gibt keine neuen features in der neuesten version von Drupal, aber Webmaster sind aufgefordert, die Aktualisierung Ihrer vorhandenen Pakete, um die Vorteile der neuesten Runde von security-fixes.
Siehe auch: Drupal-patches 10 Sicherheitslücken, von kritischen Fragen
Im Juli, Drupal, fragte Benutzer, um den patch eine remote-code-execution-Schwachstelle erlaubt Angreifern komplett übernehmen Sie eine website mit speziell gestaltete Anforderungen, beliebigen code auszuführen, und möglicherweise hijack Server.
0