0
NopSec
Drupal har udsendt en sikkerhedsopdatering, som løser en række af kritiske fejl i hjemmesiden management platform er core engine.
På torsdag, Drupal, et open-source content management system (CMS), der bruges af tusinder til at styre den bagerste ende af deres hjemmesider, frigivet den seneste version af firmaets software, Drupal 8.3.7, for at bekæmpe en række sårbarheder, der kunne efterlade brugerne er udsat for angreb.
I henhold til Drupal ‘ s security advisory, flere sårbarheder er opdaget i CMS-platform, hvoraf nogle anses for kritisk.
Den mest alvorlige sikkerhedshul, CVE-2017-6925, er en adgang omgå fejl i Drupal 8-Core engine ‘ s enhed få adgang til systemet uden en Universal Unique Identifier (UUID), der kan gøre det muligt for angribere at ligge frit i systemet. Drupal siger, at hvis der er en sårbarhed udnyttes, hackere er i stand til at se, oprette, opdatere eller slette enheder.
Et andet alvorligt problem, CVE-2017-6923, er en anden adgang bypass sårbarhed. Problemet opstår så, når du opretter en visning i Drupal, du er i stand til at eventuelt bruge Ajax til at opdatere vise data via filter parametre.
Men den opfattelse delsystem mobile ikke begrænse adgangen til Ajax endpoint at kun synspunkter, der er konfigureret til at bruge Ajax.
I denne uge, CMS platform udbyder også udstedt en særskilt security advisory for Drupal version 7.
I henhold til bekendtgørelsen, version 7.x – 3.17 er også sårbare over for de samme Ajax spørgsmål, men ingen CVE er endnu ikke blevet udstedt. Brugere af dette build er også blevet bedt om at anvende sikkerhedsopdateringen til views modulet.
Den sidste fejl er nu rettet i den nye Drupal-udgivelse er CVE-2017-6924, igen, en adgang bypass sårbarhed. Denne fejl kan udnyttes via REST API, til at tillade brugere uden det korrekte niveau for tilladelse til at skrive kommentarer, der er automatisk godkendt.
Dog, dette kun påvirker Drupal bygger med RESTful Web Services (resten) – modul aktiveret, og hvor en hacker kan få adgang til en bruger-konto på siden med tilladelser til at skrive kommentarer, eller hvor anonyme brugere har tilladelse til at poste kommentarer.
Drupal version 8 inden Drupal 8.3.7 er sårbare over for disse spørgsmål.
Der er ingen nye funktioner i den seneste version af Drupal, men webmasters opfordres til at opdatere deres eksisterende pakker til at drage fordel af den seneste runde af sikkerhedsrettelser.
Se også: Drupal patches 10 sikkerhedshuller, kritiske spørgsmål
I juli, Drupal bad brugerne til at lappe en fjernkørsel af programkode fejl, som gjorde det muligt for angribere at overtage en hjemmeside ved hjælp af specielt fremstillede anmodninger, køre vilkårlig kode, og potentielt kapre servere.
0