Σάββατο, 23 Ιανουαρίου, 00:13
Αρχική security Drupal: Ενημερώσεις ασφαλείας για την αντιμετώπιση exploits

Drupal: Ενημερώσεις ασφαλείας για την αντιμετώπιση exploits

Οι προγραμματιστές του συστήματος διαχείρισης περιεχομένου Drupal (CMS) κυκλοφόρησαν έκτακτες ενημερώσεις ασφαλείας λόγω της διαθεσιμότητας κάποιων exploits, που μπορούν να θέσουν σε κίνδυνο τα συστήματα.

Drupal exploits
Drupal: Ενημερώσεις ασφαλείας για την αντιμετώπιση exploits

Οι βασικές ενημερώσεις που κυκλοφόρησαν για τα Drupal 7, 8.8, 8.9 και 9.0 στις 25 Νοεμβρίου αντιμετωπίζουν δύο ευπάθειες που επηρεάζουν το PEAR Archive_Tar, μια third-party βιβλιοθήκη που έχει σχεδιαστεί για το χειρισμό αρχείων .tar στο PHP.

Οι ενημερώσεις διορθώνουν δύο ευπάθειες που έχουν ονομαστεί CVE-2020-28948 και CVE-2020-28949.

Η εκμετάλλευση περιλαμβάνει χειρισμό ονομάτων αρχείων και μπορεί να επιτρέψει σε έναν επιτιθέμενο να εκτελέσει κώδικα PHP ή να αντικαταστήσει αρχεία, συμπεριλαμβανομένων σημαντικών αρχείων όπως / etc / passwd και / etc / shadow.

Ο ερευνητής που ανέφερε τις ευπάθειες, δημοσίευσε και proof-of-concept (PoC) exploits, γι’ αυτό οι προγραμματιστές Drupal αποφάσισαν να κυκλοφορήσουν έκτακτες ενημερώσεις για τους χρήστες, για να τους προστατεύσουν από μια πιθανή επίθεση.

Σύμφωνα με το πρόγραμμα ενημερώσεων, το patch που κυκλοφόρησε στις 25 Νοεμβρίου δεν αποτελεί βασική ενημέρωση. Ωστόσο, ήταν απαραίτητο επειδή υπάρχουν γνωστά exploits που καθιστούν ορισμένες διαμορφώσεις του Drupal ευάλωτες σε επιθέσεις.

Ενημερώσεις ασφαλείας
Drupal: Ενημερώσεις ασφαλείας για την αντιμετώπιση exploits

Οι προγραμματιστές Drupal επεσήμαναν ότι η εκμετάλλευση είναι δυνατή εάν το CMS έχει ρυθμιστεί ώστε να επιτρέπει τη μεταφόρτωση αρχείων .tar, .tar.gz, .bz2 ή .tlz. Πέρυσι, είχαν διορθωθεί παρόμοιες ευπάθειες που σχετίζονταν με την ίδια βιβλιοθήκη PEAR. Οι προγραμματιστές είπαν ότι οι τωρινές ευπάθειες δεν σχετίζονται με τις περσινές, αν και οι ίδιες αλλαγές στη διαμόρφωση μπορούν να μετριάσουν το ζήτημα. Μια από τις συμβουλές που δίνουν οι ειδικοί στους χρήστες, είναι να απαγορεύουν σε μη έμπιστους χρήστες να μεταφορτώνουν αρχεία με τις προαναφερθείσες επεκτάσεις.

Πρόκειται για την έκτη ενημέρωση ασφαλείας που κυκλοφορεί φέτος για το Drupal CMS. Το πέμπτο patch κυκλοφόρησε, επίσης, αυτό το μήνα για να διορθώσει μια ευπάθεια που επέτρεπε σε έναν επιτιθέμενο να εκτελέσει απομακρυσμένα κώδικα.

Πηγή: Security Week

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Intel CPUs Review: Core i7-10700 vs Core i7-10700K!

Με την πάροδο των χρόνων, η σειρά επεξεργαστών (CPUs) της Intel παρουσίασε τη σειρά μοντέλων overclocking "K" και πιο πρόσφατα τη σειρά...

Το DeLorean μπορεί να επιστρέψει ως ηλεκτρικό αυτοκίνητο

Το DMC DeLorean είναι εκτός παραγωγής εδώ και σχεδόν 40 χρόνια, αλλά φαίνεται πως το εμβληματικό όχημα θα επιστρέφει ως ηλεκτρικό αυτοκίνητο.

Οι servers RDP των Windows χρησιμοποιούνται στην ενίσχυση των DDoS

Οι συμμορίες που διαπράτουν εγκλήματα στον κυβερνοχώρο κάνουν κατάχρηση των συστημάτων Windows Remote Desktop Protocol (RDP) για να να ενισχύσουν το ανεπιθύμητο...

SEPA: Αρνήθηκε να πληρώσει λύτρα και διέρρευσαν χιλιάδες αρχεία

Χιλιάδες κλεμμένα αρχεία της Υπηρεσίας Προστασίας Περιβάλλοντος της Σκωτίας (SEPA) έχουν δημοσιεύσει από hackers, αφού ο οργανισμός αρνήθηκε να πληρώσει τα λύτρα...

Πρόστιμα στις Valve, Capcom και Zenimax για γεω-αποκλεισμό παιχνιδιών

Μετά από έρευνα της Ευρωπαϊκής Επιτροπής, σε μια ομάδα εκδοτών βιντεοπαιχνιδιών επιβλήθηκε πρόστιμο 7,8 εκατομμύριων ευρώ μετά από κατηγορίες πρακτικών γεω-αποκλεισμού. Σε...

Το Bitcoin βοηθάει την μεσαία τάξη να επιβιώσει από την πανδημία

Οι ρυθμιστικές αρχές εξακολουθούν να υπονοούν ότι το Bitcoin είναι απλώς ένα εργαλείο για εγκληματίες, όμως φαίνεται πως για την μεσαία τάξη...

Κυκλοφόρησε η έκδοση Lightworks 2021.1 για Linux, Mac και Windows

Το επαγγελματικό λογισμικό επεξεργασίας βίντεο πολλαπλών πλατφορμών Lightworks έλαβε την πρώτη σημαντική ενημέρωση της έκδοσης 2021.1 Lightworks για Windows, Linux και Mac.

Netflix: Δείτε τις 9 καλύτερες ταινίες Anime όλων των εποχών

Ένα από τα καλά της πανδημίας ήταν ότι πολλοί άνθρωποι εισήχθησαν στον κόσμο του anime. Και το θέμα με το anime είναι...

CHwapi: Το Windows BitLocker «χτύπησε» το νοσοκομείο του Βελγίου!

Το νοσοκομείο CHwapi στο Βέλγιο υπέστη στις 17 Ιανουαρίου κυβερνοεπίθεση, με τους χάκερς να ισχυρίζονται ότι έχουν κρυπτογραφήσει 40 servers και 100...

Λοταρίες για CPU/GPU: Η Newegg πουλάει τις λιγοστές που κυκλοφορούν

Το να υπάρχει έλλειψη στα hardware δεν είναι ασυνήθιστο, αλλά η πανδημία έχει επιδεινώσει την κατάσταση. Όλος ο πλανήτης βρίσκεται κλεισμένος στο...