Mise à jour de Drupal le plus tôt possible: Plus d’un million de sites qui peuvent être facilement piraté par un visiteur

0
176

Zero

Vidéo: Le 2013 faille qui est toujours utilisée pour faire tourner des serveurs Linux en pièce les mineurs d’aujourd’hui

Les développeurs de la populaire open-source CMS Drupal sont en garde les admins immédiatement patch une faille permettant à un attaquant peut exploiter simplement en visitant un site vulnérable.

Le bug affecte l’ensemble des sites en cours d’exécution sur Drupal 8, Drupal 7 et Drupal 6. Drupal du projet d’utilisation de la page indique qu’environ un million de sites sont en cours d’exécution les versions concernées.

Les Admins sont invités à mettre immédiatement à jour de Drupal 7.58 ou Drupal 8.5.1. Drupal a émis une alerte pour le patch de la semaine dernière avertissement admins pour allouer du temps pour patcher car exploits pourrait arriver “dans les heures ou les jours” de sa mise à jour de sécurité. Jusqu’à présent, il n’y a pas eu d’attaques à l’aide de la faille, selon Drupal.

Le bug, qui est appelé Drupalgeddon2, a été affecté à l’officiel d’identifiant CVE-2018-7600.

Drupal a donné un “hautement critique” note avec un risque de score de 21 sur 25 dans le NIST Commun l’utilisation Abusive du Système de Notation.

Bien qu’il n’existe pas de versions de sécurité pour la non prise en charge de Drupal 8.3.x et 8.4.x, Drupal a publié des correctifs pour la correction rapide.

Télécharger maintenant: stratégie de Cybersécurité de recherche: Commun tactiques, les questions de mise en œuvre et de l’efficacité

Drupal avertit que les attaquants peuvent exploiter la faille par l’intermédiaire de plusieurs avenues. Tout visiteur, quel que soit privilèges, peuvent exploiter la faille en visitant un site concerné et obtenir l’accès, de modification et de suppression des données privées.

“Cela permet à l’attaquant d’exploiter de multiples vecteurs d’attaque sur un site Drupal, ce qui pourrait entraîner que le site soit complètement compromise,” Drupal notes.

Le projet dit que seuls les “drastique” des modifications de la configuration d’atténuer la vulnérabilité et donc recommande d’installer la mise à jour de sécurité.

Le problème réside dans la base de Drupal et est causée par le manque de validation de l’entrée.

“À ce jour, Drupal bandes de plusieurs valeurs potentiellement dangereuses de l’utilisateur fourni en entrée,” Drupal 7.58 et 8.4.6 notes de version.

Le 7.58 direction générale de Drupal comprend un nouveau fichier de a et une mise à jour d’un fichier déjà existant, selon les applications du royaume-UNI entreprise de sécurité Appsecco.

“Le ‘/comprend répertoire contient plusieurs .inc les fichiers qui sont appelées lorsque Drupal est accessible pour l’installation de l’environnement de serveur, serveur-côté variables et la manipulation des données fournies par l’utilisateur sur le serveur”, écrit Appsecco de Riyaz Walikar.

“La nouvelle version, 7.58, a un nouveau fichier appelé” demande-désinfectant.inc’ qui contient des fonctions pour nettoyer les entrées utilisateur fourni par le biais d’un GET, POST ou d’un cookie.”

“Le problème sous-jacent est que la base de Drupal (comme beaucoup d’autres cadres) accepte des paramètres de la requête sous forme de tableau d’objets. Un utilisateur peut passer un tableau d’objet de l’application avec le keyname contenant la charge utile Drupal serait sans assainissement.”

Précédente et de la couverture liée

Drupal correctifs critiques CMS vulnérabilités

Les bugs inclure un code incorrect de la manipulation et de l’accès contourner les failles de sécurité.

Drupal correctifs d’accès critique de dérivation faille dans le noyau du moteur

Drupal a publié des correctifs de sécurité de “lisser” un grave accès de contournement de la vulnérabilité, parmi d’autres bugs.

Quand il s’agit de la technologie que l’on aime, est-il jamais vraiment obsolète?

Les entreprises ont besoin de réfléchir à quoi faire avec les technologies qui sont vieux, mais toujours beaucoup aimé.

Pourquoi la tête de la CMS pourrait changer la façon dont les entreprises gèrent toujours le contenu (TechRepublic)

Avec la variété de façons dont le contenu est distribué, le découplage de votre site web de l’interface depuis le backend système de gestion de contenu peut rendre votre projet plus adaptable.

Rubriques Connexes:

Des Logiciels D’Entreprise

De sécurité de la TÉLÉVISION

La Gestion Des Données

CXO

Les Centres De Données

0