Eine neue hoch kritische Sicherheitslücke, identifiziert als CVE-2019-6340, gerade wurde in Drupal entdeckt, und zum Glück hat es bereits in der neuesten Version des Content-Management-Systems festgelegt.
Wenn Sie mit Drupal 7, kein Core-Update erforderlich, Sie können jedoch müssen beigetragen Module aktualisieren, wenn Sie ein betroffenes Modul verwenden. Wir sind nicht in der Lage, die Liste dieser Module zu diesem Zeitpunkt zur Verfügung zu stellen, Drupal sagte in der Sicherheitsempfehlung.
CVE-2019-6340 Technische Zusammenfassung
CVE-2019-6340 sind eine Remotecodeausführung Fehler in Drupal-Core, die in bestimmten Fällen zu beliebiger PHP-Code-Ausführung führen könnten. Nicht genügend technische Details sind verfügbar über die Verwundbarkeit. Was bekannt ist, dass der Fehler ausgelöst wird, weil einige Feldtypen von nicht-Form Quellen nicht richtig Daten sanieren. Der Fehler betrifft Drupal 7 und Drupal 8, das Team sagte,.
Eine Website auf Basis von Drupal ist nur verwertbar, falls das RESTful Web Service (sich ausruhen) Modul Pflaster oder POST Anforderungen aktiviert ermöglicht. Der Fehler wird auch ausgelöst, wenn ein anderer Web-Service-Modul aktiviert ist.
Wie kann CVE-2019-6340 entschärft werden?
Zur Milderung der Verwundbarkeit, betroffene Nutzer können all Web-Services-Module deaktivieren, oder ihre Web-Server konfigurieren(s) nicht PUT / PATCH / POST-Anfragen an Web-Services-Ressourcen zu ermöglichen. Beachten Sie, dass Web-Services-Ressourcen auf mehrere Pfade zur Verfügung stehen an der Konfiguration des entsprechenden Servers abhängig(s).
für Drupal 7, Ressourcen sind zum Beispiel typischerweise zur Verfügung über die Pfade (saubere URLs) und über Argumente an die “q” Abfrage Argument. für Drupal 8, Wegen funktionieren kann, wenn sie mit noch index.php Präfix /, die Beratungs sagte.
Ein weiterer Remotecodeausführung Fehler in Drupal, genannt Drupalgeddon2, wurde im Oktober letzten Jahres ausgebeutet. Ein unbekannter Verbrecher Kollektiv nahm in der CVE-2018-7600 Beratungs verfolgt Vorteil einer alten Sicherheitslücke, die zuvor gepatcht wurde 2017. Dieser Einbruchsversuch wurde die Drupalgeddon2 Angriff und entsprechend der verfügbaren Forschung genannt, es erlaubt Hacker anfällig Websites zu nutzen und die totale Kontrolle übernehmen, einschließlich des Zugangs zu privaten Daten.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: