Nem érdemes halogatni a Drupal frissítését

A Drupal fejlesztői arra kérték a weboldalak üzemeltetőit, hogy mihamarabb telepítsék fel a legutóbb kiadott frissítéseket.
 

A Drupalhoz ismét fontos hibajavítások jelentek meg, ezért érdemes minél előbb sort keríteni a frissítésre. Ezúttal alapvetően két biztonsági rést kell befoltozni, amelyek jogosulatlan műveletvégrehajtásra és adathozzáférésre, illetve szolgáltatásmegtagadási támadásokra adhatnak módot. 

Az Isidor Biztonsági Központ jelentése szerint az első sebezhetőség alapvetően a Drupal 7-et érinti, de a fejlesztők szerint vannak olyan támadási lehetőségek, amik a Drupal 6 kapcsán is kockázatot jelentenek az újonnan feltárt sebezhetőség vonatkozásában. A biztonsági tájékoztató alapján elmondható, hogy a sérülékenység azon weboldalak esetében használható ki, amelyek HTTP és HTTPS alapon is szolgáltatnak tartalmakat. Ekkor a támadóknak lehetőségük nyílhat a felhasználói munkamenetek (sessionök) manipulálására, illetve munkamenetekhez való jogosulatlan hozzáférésre.

A másik biztonsági hiba kizárólag a Drupal 7 esetében okozhat fennakadásokat. A jelszavak hasheléséért felelős API ugyanis egy olyan hibát tartalmaz, amely speciálisan szerkesztett kérések esetén a CPU és a memória felemésztéséhez vezethet. Ez pedig a célkeresztbe állított weboldalak megbénulását, illetve válaszképtelenné válását idézheti elő. 

A sérülékenységek a Drupal 6.34-es vagy 7.34-es verziójára történő frissítéssel szüntethetők meg. Emellett egyedi session.inc és password.inc fájlok esetén érdemes további, manuális ellenőrzéseket is végezni.

Elhanyagolt frissítések

A Drupal október 15-én is kiadott egy fontos frissítést, amellyel egy SQL injection alapú támadásokra lehetőséget adó sérülékenységet lehet megszüntetni. A HackerTarget által - több mint 10 ezer weboldal bevonásával - elvégzett felmérés szerint a javítások megjelenését követő 28. napon a Drupal alapú webhelyek 48 százaléka még mindig sebezhető volt az októberben befoltozott hiba által. Mindez azt jelenti, hogy a frissítések elhanyagolása miatt sok weboldal kiszolgáltatott a támadásokkal szemben.
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség