Una nuova vulnerabilità estremamente critica, identificato come CVE-2019-6340, è stato appena scoperto in Drupal, e per fortuna è già risolto nella versione più recente del sistema di gestione dei contenuti.
Se si esegue Drupal 7, è richiesto alcun aggiornamento nucleo, ma potrebbe essere necessario aggiornare i moduli contribuito se si utilizza un modulo colpiti. Non siamo in grado di fornire l'elenco di tali moduli in questo momento, Drupal ha detto nel advisory di sicurezza.
CVE-2019-6340 Riprendi tecnico
CVE-2019-6340 è un difetto remota esecuzione di codice in Drupal core che potrebbe provocare l'esecuzione di codice PHP arbitrario in casi specifici. Non abbastanza dettagli tecnici sono disponibili sulla vulnerabilità. Quello che si sa è che il difetto è innescato perché alcuni tipi di campo non sterilizzare correttamente i dati provenienti da fonti non-forma. Il bug riguarda Drupal 7 e Drupal 8, la squadra ha detto.
Un sito web basato su Drupal è sfruttabile solo nel caso in cui i servizi Web RESTful (riposo) modulo è abilitato permettendo richieste patch o POST. La falla è anche attivato quando un altro modulo servizio web è abilitato.
Come può CVE-2019-6340 essere mitigata?
Per mitigare la vulnerabilità, utenti interessati possono disabilitare tutti i moduli di servizi web, o configurare il proprio server web(s) di non consentire le richieste PUT / PATCH / POST ai servizi web di risorse. Tenete a mente che i servizi web le risorse possono essere disponibili su più percorsi a seconda della configurazione del server corrispondente(s).
per Drupal 7, le risorse sono per esempio in genere disponibili tramite percorsi (gli URL semplificati) e via argomenti al “q” argomento di query. per Drupal 8, percorsi possono ancora funzionare quando prefisso index.php /, la consulenza detta.
Un altro codice remoto esecuzione errore in Drupal, chiamato Drupalgeddon2, è stata sfruttata nel mese di ottobre dello scorso anno. Un collettivo criminale sconosciuta stava approfittando di un vecchio bug di sicurezza rintracciato nella consulenza CVE-2018-7600 che è stato in precedenza in patchato 2017. Questo tentativo di intrusione è stato chiamato l'attacco Drupalgeddon2 e secondo la ricerca disponibili, ha permesso hacker di sfruttare siti vulnerabili e prendere il controllo totale, compreso l'accesso ai dati privati.