ΑρχικήsecurityΤο πολύ κρίσιμο Drupal RCE σφάλμα επηρεάζει εκατομμύρια websites

Το πολύ κρίσιμο Drupal RCE σφάλμα επηρεάζει εκατομμύρια websites

σφάλμα Οι διαχειριστές πρέπει να δημιουργήσουν μια νέα ενημέρωση για να διορθώσουν μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα. Η πλατφόρμα του συστήματος διαχείρισης περιεχομένου Drupal εξέδωσε συμβουλές για ένα κρίσιμο σφάλμα απομακρυσμένης εκτέλεσης κώδικα (RCE) στον πυρήνα του Drupal.

Το σφάλμα (CVE-2019-6340) προκύπτει από το γεγονός ότι “ορισμένοι τύποι πεδίων δεν «καθαρίζουν» σωστά τα δεδομένα από non-form sources”, σύμφωνα με μια σύσταση του Drupal, την Τετάρτη.

Η ανεπαρκής επικύρωση των εισερχόμενων δεδομένων μπορεί να οδηγήσει σε διάφορα είδη εισροών κώδικα, ανοίγοντας την πόρτα για cross-site scripting, website ή server hacking και σε ορισμένες περιπτώσεις, μπορεί να χρησιμοποιηθεί για κλοπή των διαπιστευτηρίων χρήστη ή για την τοποθέτηση κάποιου κακόβουλου λογισμικού. Το Drupal είπε ότι το εν λόγω σφάλμα μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα PHP, σε ορισμένες περιπτώσεις.

Οι αδυναμίες του CMS είναι περιζήτητες από τους χάκερς, καθώς μπορούν να παρέχουν πρόσβαση σε εκατομμύρια ευάλωτα site ταυτόχρονα. Από την πλευρά του, το Drupal παρέχει ένα back-end πλαίσιο για τουλάχιστον 4,6% όλων των website σε όλο τον κόσμο – από προσωπικά blogs έως εταιρικά, πολιτικά και κυβερνητικά sites. Αν και αυτό το ποσοστό ακούγεται πολύ μικρό, είναι η τρίτη πιο δημοφιλής web πλατφόρμα στον κόσμο μετά το WordPress και το Joomla. Το Drupal τροφοδοτεί περίπου 73,6 εκατομμύρια από τα 1,6 δισεκατομμύρια online websites που υπάρχουν στον κόσμο.

Εκείνοι που χρησιμοποιούν το Drupal 8.6.x μπορούν να το αναβαθμίσουν στο Drupal 8.6.10, για να διορθώσουν το σφάλμα. Και εκείνοι που χρησιμοποιούν το Drupal 8.5.x ή κάποιο προηγούμενο μπορούν να το αναβαθμίσουν στο Drupal 8.5.11. Το Drupal 7 Services module δεν επηρεάζεται, αλλά οι διαχειριστές πρέπει να συνεχίζουν να εφαρμόζουν άλλες ενημερώσεις, ανέφερε η ομάδα.

Τα επηρεαζόμενα project περιλαμβάνουν τα 0Auth 2.0, Entity Registration, Font Awesome Icons, JSON: API και RESTful Web Services, επομένως χρειάζονται ενημερώσεις και γι’ αυτά.

Ένα site επηρεάζεται από το σφάλμα μόνο εάν έχει ενεργοποιημένο το Drupal 8 core RESTful Web Services module και επιτρέπει αιτήματα PATCH ή POST, ή εάν έχει ενεργοποιημένο άλλο web-services module , όπως το JSON: API στο Drupal 8 ή το Services ή το RESTful Web Services στο Drupal 7.

Για να μετριάσουν το σφάλμα πριν εφαρμόσουν τις ενημερώσεις, οι διαχειριστές θα πρέπει να απενεργοποιήσουν όλα τα web services modules ή να διαμορφώσουν τους servers ώστε να μην επιτρέπουν αιτήματα PUT / PATCH / POST.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS