Без категории

Drupal устранили критические уязвимости RCE в версиях 7 и 8

Когда дело доходит до веб-CMS, после WordPress одним из первых имен, который поражает наш ум, обычно является Drupal. Фактически, Drupal удалось установить себя как более безопасную платформу по сравнению с WordPress и Joomla. Стремясь сохранить эту репутацию, Drupal, похоже, активно работает над устранением различных недостатков безопасности в своей системе. Недавно разработчики Drupal исправили критические уязвимости RCE в двух версиях своих CM, наряду с несколькими умеренно серьезными ошибками.

Обновление критических уязвимостей RCE в Drupal

Недавно Drupal опубликовал рекомендацию по безопасности, объясняющую несколько ошибок, которые она зафиксировала вместе. Как было сказано, команда разработчиков в Drupal исправила критические уязвимости RCE и несколько умеренно критических недостатков, которые затронули Drupal 7 и Drupal 8. Точно, они исправили две удаленные ошибки выполнения кода и три умеренно критические ошибки.

Из двух недостатков RCE одним из них является «Injection in DefaultMailSystem :: mail ()» – ошибка удаленного выполнения кода в брандмауэре почты, влияющая на Drupal 7 и Drupal 8. Описывая это в своих рекомендациях, Drupal заявил,

При отправке электронной почты некоторые переменные не подвергались обработке для аргументов, которые использует оболочка, что может привести к удаленному выполнению кода.

В то время как другая ошибка – уязвимость проверки контекстной ссылки – также может инициировать удаленные атаки в случае Drupal 8. Как объяснил Drupal,

Модуль контекстных ссылок недостаточно проверяет запрошенные контекстные ссылки. Эта уязвимость смягчается тем фактом, что злоумышленник должен иметь роль с разрешением «доступ к контекстным ссылкам».

В дополнение к этим двум критическим недостаткам, три умеренно серьезных недостатка также получили исправления с этим обновлением. Две из этих уязвимостей, влияющие на Drupal 8, включают уязвимость обхода доступа к модерации контента и уязвимость анонимного открытого переадресации. Принимая во внимание, что последнее: «Внешняя URL-инъекция через псевдонимы URL» повлияла как на Drupal 7, так и на Drupal 8.

Пользователи Drupal должны быстро обновляться

Разработчики уже выпустили исправления для всех пяти уязвимостей. Как рекомендовано поставщиками, пользователям Drupal 7.x следует быстро перейти на версию 7.60. В то время как те, у кого Drupal 8.5.x и более ранние версии, должны обновиться до Drupal 8.5.8. Аналогично, пользователи Drupal 8.6.x должны быстро обновить свое программное обеспечение до версии 8.6.2. Drupal рекомендует обновить до исправленных версий, чтобы как можно скорее защитить себя от возможной эксплуатации.

Теги

nelus

Программист, SEO специалист, GEEK, увлекаюсь новостями из мира IT и безопасностью программного обеспечения.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Back to top button