Een nieuwe, uiterst kritieke kwetsbaarheid, geïdentificeerd als CVE-2019-6340, werd net ontdekt in Drupal, en gelukkig is het al in de nieuwste versie van het content management systeem vast.
Als u werkt met Drupal 7, geen kern update vereist, maar u kan nodig zijn om bijgedragen modules updaten als u gebruik maakt van een getroffen module. We zijn niet in staat om de lijst van modules bieden op dit moment, Drupal zei in de security advisory.
CVE-2019-6340 Technische Resume
CVE-2019-6340 is een uitvoering van externe code fout in Drupal kern die kan leiden tot het uitvoeren van willekeurige PHP code in bepaalde gevallen. Niet genoeg technische gegevens beschikbaar zijn over de kwetsbaarheid. Wel is bekend dat de fout wordt veroorzaakt omdat sommige veldtypen niet goed gegevens van niet-vorm bronnen ontsmetten. De bug treft Drupal 7 en Drupal 8, zei het team.
Een website op basis van Drupal is slechts misbruikt in het geval de REST Web Services (rust uit) module is ingeschakeld waardoor patch of POST-aanvragen. De fout wordt ook geactiveerd wanneer een andere web service module is ingeschakeld.
Hoe kan CVE-2019-6340 worden verzacht?
Om de kwetsbaarheid te verminderen, getroffen gebruikers een overzicht van alle web services modules uit te schakelen, of configureren van hun web server(s) om niet toe dat PUT / PATCH / POST-aanvragen om middelen web services. Houd in gedachten dat de middelen web services beschikbaar zijn op meerdere paden, afhankelijk van de configuratie van de bijbehorende server kan zijn(s).
voor Drupal 7, middelen zijn bijvoorbeeld meestal verkrijgbaar via paden (clean URLs) en via argumenten om de “q” vraag argument. voor Drupal 8, paden kunnen functioneren nog als voorvoegsel index.php /, het adviesorgaan zei.
Een andere uitvoering van externe code fout in Drupal, genaamd Drupalgeddon2, werd uitgebuit in oktober vorig jaar. Er is een onbekende crimineel collectieve profiteerde van een oude security bug bijgehouden in de CVE-2018-7600 adviesdiensten die eerder werd gepatcht in 2017. Dit inbraakpoging heette de Drupalgeddon2 aanval en op basis van het beschikbare onderzoek, Mag hackers kwetsbare gebieden benut en dat volledige controle, waaronder toegang tot privégegevens.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: