Η ομάδα Drupal κυκλοφόρησε προχθές το βράδυ νέες εκδόσεις του CMS της, οι οποίες αφορούν δέκα ευπάθειες ασφαλείας που ανακαλύφθηκαν στις τρεις βασικές εκδόσεις (6.x, 7.x και 8.x).
Από τις δέκα ευπάθειες, με βάση τη σοβαρότητά τους, το ένα bug βαθμολογήθηκε ως κρίσιμο, έξι ως μέτρια κρίσιμα και τρεις ως λιγότερο κρίσιμα.
Η ευπάθεια που επισημάνθηκε ως κρίσιμη επηρέαζε μόνο την έκδοση 6 και ήταν ένα θέμα παράκαμψης της αυθεντικοποίησης που επέτρεπε σε non-admin μέλη να αλληλεπιδρούν με κουμπιά διαχειριστή.
Οι ευπάθειες που χαρακτηρίστηκαν ως κρίσιμες περιελάμβαναν μια παράκαμψη κατά το ανέβασμα αρχείου που προκαλούσε denial of service (εκδόσεις 7 και 8) και μια ανακατεύθυνση σε μια σελίδα λάθους 404 που ξανά-δρομολογούσε χρήστες σε κακόβουλα links (εκδόσεις 6, 7 και 8).
Επιπλέον, η ομάδα δημιούργησε patches σε ένα θέμα που κατά το παρελθόν επηρέαζε και WordPress ιστοσελίδες. Προφανώς, το DrupaΙ CMS περιλαμβάνει μια XML-RPC υπηρεσία που μπορεί να παραβιαστεί, με τον ίδιο τρόπο όπως και στο WordPress, για να ενισχύσει brute-force επιθέσεις στη σελίδα σύνδεσης του διαχειριστή (εκδόσεις 6 και 7). Αυτό έχει σκληρύνει για να αποφευχθούν τέτοιου είδους exploitation.
Άλλα μέτρια κρίσιμα σφάλματα που διορθώθηκαν περιελάμβαναν ένα HTTP header injection χρησιμοποιώντας αλλαγές γραμμών (έκδοση 6), ένα άλλο ζήτημα ανακατεύθυνσης μέσω διπλο-κωδικοποιημένων παραμέτρων “προορισμού” (έκδοση 6) και ένα reflected file download θέμα (εκδόσεις 6 και 7).
Τα λιγότερο κρίσιμα ζητήματα περιελάμβαναν ένα bug που χορηγούσε σε ορισμένους χρήστες επιπλέον προνόμια (έκδοση 6 και 7), ένα σφάλμα που πραγματοποιούσε unserialization σε δεδομένα που παρέχονταν από τον χρήστη κατά τη μεταφορά λόγω session data truncation (έκδοση 6) και ένα bug που επέτρεπε στους χρήστες να συνδέονται χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους, αντί για το όνομα χρήστη τους (εκδόσεις 7 και 8).
Όλα αυτά τα ζητήματα έχουν διορθωθεί στις εκδόσεις DrupaΙ 8.0.4, 7.43 και 6.38, διαθέσιμο σήμερα για κατέβασμα, στην ιστοσελίδα του DrupaΙ ή στο GitHub repo τους.
Επιπλέον, η ομάδα του DrupaΙ υπενθύμισε στους χρήστες του, ότι προχθές 24, Φεβρουαρίου 2016, η έκδοση 6.x του project τους έφθασε και επισήμως σε EOL (End Of Life).
Αυτό σημαίνει ότι, εκτός από επείγουσες διορθώσεις σφαλμάτων, η έκδοση 6 δεν θα λαμβάνει κανένα νέο χαρακτηριστικό ή υποστήριξη από την ομάδα του Drupal.
