En ny yderst kritisk sårbarhed, identificeret som CVE-2019-6340, blev lige opdaget i Drupal, og heldigvis er det allerede fastsat i den seneste udgave af content management system.
Hvis du kører Drupal 7, uden kerne opdatering er påkrævet, men det kan være nødvendigt at opdatere bidraget moduler, hvis du bruger en berørt modul. Vi kan ikke give en liste over disse moduler på dette tidspunkt, Drupal sagde i sikkerhed rådgivende.
CVE-2019-6340 Teknisk Genoptag
CVE-2019-6340 er en fjernkørsel af programkode fejl i Drupal Core, der kan føre til vilkårlig PHP-kode i særlige tilfælde. Ikke nok tekniske detaljer er tilgængelige om sårbarheden. Hvad er kendt er, at fejlen udløses, fordi nogle felttyper ikke ordentligt rense data fra ikke-formular kilder. Fejlen påvirker Drupal 7 og Drupal 8, holdet sagde.
En hjemmeside baseret på Drupal er kun udnyttes, hvis de RESTful Web Services (hvile) modulet er aktiveret tillade anmodninger plaster eller POST. Fejlen er også udløses, når en anden web service modul er aktiveret.
Hvordan kan CVE-2019-6340 afbødes?
For at mindske sårbarheden, berørte brugere kan deaktivere alle web services moduler, eller konfigurere deres webserver(s) for ikke at tillade PUT / PATCH / POST-anmodninger til ressourcer web services. Husk, at ressourcerne web services kan være tilgængeligt på flere stier, afhængigt af konfigurationen af den tilsvarende server(s).
For Drupal 7, ressourcer er for eksempel typisk tilgængelige via stier (rene URL'er) og via argumenter til “q” query argument. For Drupal 8, stier kan stadig fungere, når foranstillet index.php /, det rådgivende sagde.
En anden fjernkørsel af programkode fejl i Drupal, kaldet Drupalgeddon2, blev udnyttet i oktober sidste år. En ukendt kriminel kollektiv var at drage fordel af en gammel sikkerhed bug spores i CVE-2018-7600 rådgivende der tidligere var patched i 2017. Denne indbrudsforsøg blev kaldt Drupalgeddon2 angreb og i henhold til den tilgængelige forskning, det tilladt hackere at udnytte sårbare steder og tage total kontrol, herunder adgang til privat data.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: