Δευτέρα, 1 Ιουνίου, 22:09
Αρχική security Ευπάθεια επιτρέπει σε hackers να καταλαμβάνουν ιστότοπους του Drupal 8

Ευπάθεια επιτρέπει σε hackers να καταλαμβάνουν ιστότοπους του Drupal 8

Drupal

Οι χρήστες του Drupal, ενημερώθηκαν χθες από τους προγραμματιστές του ότι η έκδοση 8.7.4 επηρεάζεται από μια σοβαρή ευπάθεια και τους ζητήθηκε να το ενημερώσουν στην έκδοση 8.7.5, η οποία αντιμετωπίζει το πρόβλημα.

Η ευπάθεια, η οποία ονομάζεται CVE-2019-6342, έχει χαρακτηριστεί ως «κρίσιμης» σοβαρότητας. Οι προγραμματιστές του Drupal, χρησιμοποιούν το NIST’s Common Misuse Scoring System για τον προσδιορισμό του επιπέδου κινδύνου μίας ευπάθειας. Αυτό σημαίνει ότι ο χαρακτηρισμός ως «κρίσιμο» είναι δεύτερος στην κλίμακα επικινδυνότητας, μετά το «πολύ κρίσιμο».

Το ελάττωμα, που περιγράφεται ως πρόβλημα παράκαμψης πρόσβασης, μπορεί να πυροδοτηθεί όταν είναι ενεργοποιημένη η πειραματική ενότητα Workspaces και να εκμεταλλευτεί για να πάρει τον έλεγχο ενός ιστότοπου.

Ο Dave Botsch ήταν εκείνος που ανακάλυψε και υπέδειξε την ευπάθεια στους προγραμματιστές του Drupal και ως τώρα δεν υπάρχει καμία ένδειξη εκμετάλλευσής της για κακόβουλους σκοπούς. Ωστόσο, αυτό το κενό ασφαλείας θα μπορούσε να είναι ένας δελεαστικός στόχος για τους hackers, καθώς επηρεάζει τις προεπιλεγμένες / συνήθεις διαμορφώσεις, δεν απαιτείται πιστοποίηση ταυτότητας και η εκμετάλλευση απαιτεί ελάχιστη αλληλεπίδραση με το χρήστη.

Το ελάττωμα επηρεάζει μόνο το Drupal 8.7.4. Οι εκδόσεις Drupal 8.7.3 και παλιότερες, 8.6.x και παλιότερες και 7.x δεν επηρεάζονται. Οι χρήστες που δεν μπορούν να ενημερώσουν στην έκδοση 8.7.5 για να διορθώσουν την ευπάθεια, μπορούν να αποτρέψουν τις πιθανές επιθέσεις απενεργοποιώντας τη λειτουργική μονάδα Workspaces.

Το Υπουργείο Εσωτερικής Ασφάλειας των ΗΠΑ (DHS) συμβουλεύει τους χρήστες να διαβάσουν τις συστάσεις του Drupal και να λάβουν τα απαραίτητα μέτρα.

Η εκμετάλλευση ευπαθειών του Drupal, δεν είναι κάτι καινούριο. Νωρίτερα φέτος, οι επιτιθέμενοι άρχισαν να εκμεταλλεύονται το ελάττωμα CVE-2019-6340, για να διαμοιράσουν cryptocurrency miners και άλλα payloads, μόλις λίγες ημέρες μετά την απελευθέρωση μιας ενημερωμένης έκδοσης κώδικα.

Επίσης την περασμένη χρονιά hackers εκμεταλλεύτηκαν δύο ευπάθειες γνωστές ως Drupalgeddon2 και Drupalgeddon3. Οι επιτιθέμενοι χρησιμοποίησαν τις ευπάθειες για να διαμοιράσουν RATs, cryptocurrency miners και απάτες τεχνικής υποστήριξης.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Προγράμματα περιήγησης συνεχίζουν να επιτρέπουν drive-by-downloads!

Εν έτει 2020 πολλά προγράμματα περιήγησης εξακολουθούν να επιτρέπουν drive-by-downloads από ασφαλή περιβάλλοντα, όπως τα iframes με sandbox. Για όσους δεν γνωρίζουν...

Νοσοκομείο στο Τόκιο χρησιμοποιεί VR για εγχειρήσεις σε live streaming

Ένα νοσοκομείο στην Ιαπωνία έχει στραφεί σε εικονική πραγματικότητα (VR) και βελτιωμένη τεχνολογία κάμερας ως πιθανή λύση στις προκλήσεις της έρευνας και...

Linux Lite 5.0 ‘Emerald’: Ένα εντελώς νέο λειτουργικό σύστημα

Πρόσφατα, ο Jerry Bezencon, δημιουργός του Linux Lite, ανακοίνωσε την κυκλοφορία της νέας έκδοσης 5.0. Η έκδοση...

Zoom update: Δεν έχετε πρόσβαση αν δεν κάνετε αναβάθμιση!

Zoom update: Δεν έχετε πρόσβαση αν δεν κάνετε αναβάθμιση: Χωρίς την τελευταία ενημέρωση Zoom, οι χρήστες δε θα έχουν πρόσβαση στην εφαρμογή...

COVID-19: Bots πίσω από τις μισές Twitter εκκλήσεις για να “ξανανοίξει” η Αμερική

Σύμφωνα με πρόσφατη έρευνα του Carnegie Mellon University, το τελευταίο διάστημα, κακόβουλοι ηθοποιοί δημιουργούν bots με στόχο να προκαλέσουν ψευδείς ενυπώσεις αλλά...

Κορωνοϊός: Απαγορεύεται το σεξ αν δεν μένετε στο ίδιο σπίτι

Μην ταράζεστε! Η είδηση αφορά την Αγγλία...Οι νέες κατευθυντήριες γραμμές στην Αγγλία για τον κορωνοϊό έχουν καταστήσει παράνομο να κάνετε σεξ στο σπίτι...

Το Office 365 παρέχει λεπτομερείς πληροφορίες σχετικά με κακόβουλα συνημμένα email

Η Microsoft θα παρέχει στους χρήστες του Office 365 Advanced Threat Protection (ATP) περισσότερες λεπτομέρειες σχετικά με δείγματα malware και κακόβουλες διευθύνσεις...

Πώς μπορείτε να συγχωνεύσετε αρχεία PDF σε διάφορες συσκευές;

Η φορητή μορφή εγγράφου ή αλλιώς PDF, είναι μια από τις μορφές αρχείων που χρησιμοποιούνται πιο συχνά από μεγάλο αριθμό χρηστών για...

Ο Tim Cook καταδικάζει τη δολοφονία του George Floyd

Ο Tim Cook καταδικάζει τη δολοφονία του George Floyd: Ο Διευθύνων Σύμβουλος της Apple, Tim Cook, σε σημείωμα που έστειλε την Κυριακή...

anti-5G USB, μάλλον, αποδείχθηκε μούφα

Οι θεωρίες συνομωσίας πάνε και έρχονται το τελευταίο διάστημα, ειδικά μετά την αναγνώριση του Covid-19 ως πανδημία. Πολλοί έσπευσαν να πουν την...