Fontos frissítés érkezett a Drupalhoz

A Drupal nagyon fontos biztonsági hibajavításokat kapott, amiket mihamarabb célszerű telepíteni. Eközben a Drupal 6 elbúcsúzott.
 
A Drupal 6-os, 7-es és 8-as verziói kritikus veszélyességű sebezhetőségektől szabadíthatók meg a legutóbbi frissítésnek köszönhetően. A legtöbb javítást a Drupal 6 kapta, amelynek kapcsán fontos megjegyezni, hogy február 24-én megszűnt a támogatása, így több ingyenes frissítést előre láthatólag már nem fog kapni. Ugyanakkor a fejlesztők jelezték, hogy továbbra is együttműködnek néhány céggel annak érdekében, hogy a Drupal 6 LTS verziója ezentúl se szenvedjen csorbát a patch-elések tekintetében. Viszont e támogatási forma elsősorban azok számára marad alternatíva, akik hajlandóak lesznek fizetni a kiterjesztett támogatásért.
 
A bejelentett sebezhetőségek közül a legveszélyesebb a Drupal 6-ban helyet kapó Form API-t érinti. A biztonsági rés kihasználásával a támadók adminisztrátori jogokhoz kötött vezérlőkkel is visszaélhetnek. A gyakorlatban ez azt jelenti, hogy ha egy webes űrlapot a felhasználók és az adminisztrátorok eltérő módon használhatnak, akkor a támadó a nagyobb jogosultsági szintnek megfelelően kezelheti az űrlapot. Emellett szintén súlyos hibát tartalmaz a 6-os verzió a HTTP fejlécek kezelését illetőleg, ami fejlécek manipulálására ad módot. Továbbá a Blog API is sebezhető.
 
Az újabb Drupal kiadásokat érintő sérülékenységek listája is tartalmaz kritikus hibákat. Ezek közül kiemelendő a File modulban feltárt biztonsági rés, ami jogosulatlan fájlműveletekre adhat lehetőséget azon támadók számára, akik legalább minimális tartalomkezelési jogosultságokkal rendelkeznek. Mindez adatlopásra is módot adhat. Sőt egyes esetekben blokkolhatóvá teheti az adott webhelyre történő feltöltéseket, ami végül szolgáltatásmegtagadási problémákat idézhet elő.
 
A fenti sérülékenységek a Drupal 6.38, 7.43 és 8.0.4 verziókra történő frissítésével orvosolhatók.
Vélemények
 
  1. 4

    A Google Chrome frissítésével újabb biztonsági hibák váltak megaszüntethetővé.

  2. 3

    A Cisco a Web és az Email Security Appliance megoldásai kapcsán egy sebezhetőségre hívta fel a figyelmet.

  3. 3

    A Symantec Messaging Gateway biztonsági rése jogosulatlan adathozzáféréshez vezethet.

 
Partnerhírek
Találkozzunk idén is az ITBN-en!

Idén 11. alkalommal, 2016. szeptember 27-28-án kerül megrendezésre az ITBN CONF-EXPO a Groupama Arénában. A rendezvény fő témája a kiberéberség lesz.

Az év információbiztonsági szak- és diplomadolgozata

A Hétpecsét Információbiztonsági Egyesület kihirdette az „Év információbiztonsági szak- és diploma-dolgozata” pályázat nyertesét.

hirdetés
Közösség
1