Interpult Studio

Drupal выпустил рекомендации по безопасности для четырех критических уязвимостей с рейтингом от умеренно критического до критического. Уязвимости затрагивают версии Drupal 9.3 и 9.4.

Совет по безопасности предупредил, что различные уязвимости могут позволить хакеру выполнить произвольный код, подвергая риску сайт и сервер.

Эти уязвимости не затрагивают Drupal версии 7.

Кроме того, все версии Drupal до 9.3.x достигли статуса End of Life, что означает, что они больше не получают обновления безопасности, что делает их использование рискованным.

Критическая уязвимость: выполнение произвольного кода PHP

Уязвимость выполнения произвольного кода PHP — это уязвимость, при которой злоумышленник может выполнять произвольные команды на сервере.

Уязвимость возникла непреднамеренно из-за двух функций безопасности, которые должны были блокировать загрузку опасных файлов, но не сработали, потому что они плохо работали вместе, что привело к текущей критической уязвимости, которая может привести к удаленному выполнению кода.

Согласно Друпалу:

«…защита от этих двух уязвимостей ранее не работала вместе корректно.

В результате, если бы сайт был настроен на загрузку файлов с расширением htaccess, имена файлов этих файлов не были бы должным образом очищены.

Это может позволить обойти защиту, обеспечиваемую стандартными файлами .htaccess ядра Drupal, и возможное удаленное выполнение кода на веб-серверах Apache».

Удаленное выполнение кода — это когда злоумышленник может запустить вредоносный файл и захватить веб-сайт или весь сервер. В этом конкретном случае злоумышленник может атаковать сам веб-сервер при запуске программного обеспечения веб-сервера Apache.

Apache — это программное обеспечение веб-сервера с открытым исходным кодом, на котором работают все остальное, например PHP и WordPress. По сути, это программная часть самого сервера.

READ  Лучшие предложения для iPad в июне 2022 г.

Уязвимость обхода доступа

Эта уязвимость, оцененная как умеренно критическая, позволяет злоумышленнику изменять данные, к которым у него не должно быть доступа.

Согласно совету по безопасности:

«При определенных обстоятельствах API основных форм Drupal неправильно оценивает доступ к элементам формы.

…Ни одна из форм, предоставляемых ядром Drupal, не является уязвимой. Однако могут быть затронуты формы, добавленные с помощью дополнительных или пользовательских модулей или тем».

Множественные уязвимости

Drupal опубликовал в общей сложности четыре рекомендации по безопасности:

В этом бюллетене содержится предупреждение о многочисленных уязвимостях, затрагивающих Drupal, которые могут подвергнуть сайт различным видам атак и последствиям.

Вот некоторые из потенциальных проблем:

  • Выполнение произвольного кода PHP
  • Межсайтовый скриптинг
  • Утекшие куки
  • Уязвимость обхода доступа
  • Несанкционированный доступ к данным
  • Уязвимость раскрытия информации

Обновление Drupal рекомендуется

Совет по безопасности от Drupal рекомендовал немедленно обновить версии 9.3 и 9.4.

Пользователи Drupal версии 9.3 должны обновиться до версии 9.3.19.

Пользователи Drupal версии 9.4 должны обновиться до версии 9.4.3.

Цитата

Рекомендации по безопасности ядра Drupal

Ядро Drupal — критично — выполнение произвольного PHP-кода

Избранное изображение Shutterstock/solarseven


https://www.searchenginejournal.com/drupal-multiple-critical-vulnerabilities/458737/

от admin

EnglishFrançaisDeutschРусский