Otkrivena velika sigurnosna rupa u Drupal CMS

Projekt Drupal poziva website administratore da što prije instaliraju nadogradnje kako bi se osigurali da pronađena ranjivost ne načini štetu u narednom peroidu. Naime, otkriven je visokorizičan bug koji utječe na Drupal core CMS i zato se ništa nije prepuštalo slučaju, već se odmah zajednici poručilo da reagira što je prije moguće. Verzije koje su pogođene su Drupal 8.6.x, Drupal 8.5.x i ranije.

Možda nije šire poznato, ali Drupal je treći najpopularniji CMS za web stranice i čini oko tri posto udjela na tržištu. Na njemu je više od milijardu web stranica, što znači da se radi o više od 30 milijuna web stranica i već po tome je dovoljno jasno koliko su ova upozorenja bitna, te koliko je bitno što prije riješiti svaki mogući problem.

Jer, ukoliko hakeri iskoriste ranjivost nazvanu CVE-2019-6340, mogu pridobiti kontrolu nad web serverom, a sve zbog činjenice da neki tipovi datoteka ne reagiraju dobro s izvorima bez forme, kao što su RESTful web usluge. Taj izostanak reakcije dovodi do PHP egzekucije koda koji potiče ranjivost. Ona se, inače, može ukloniti i prije preuzimanja nadopune zabranom PUT/PATCH/POST zahtjeva prema resursima web usluga. Također, problem se može riješiti i nadogradnjom na novije verzije, a to podrazumijeva Drupal 8.6.10 i Drupal 8.5.11.

Situacija nije riješena ni nakon nadopune same Drupal 8 jezgre jer administratori moraju instalirati i sigurnosne nadopune za nekoliko Drupalovih projekata “treće strane”. To uključuje Font Awesome Icons, Translation Management Tool, Paragraphs, Video, Metatag, Link, JSON:API i RESTful Web Services.

Ukoliko su administratori uočili da se spominje Drupal 8 jezgra, tad moraju znati da ako imaju Drupal 7 jezgru, onda ne moraju preuzimati nadopune. Barem taj detalj olakšava administratorima život.

A oni kojima nije olaškan jer su napadnuti, možda bude malo lakše sa spoznajom da su hakeri iskoristili ranjivost samo kako bi postavili alate za rudarenje kriptovaluta, što se lako ukloni i ne čini nikakvu direktnu štetu.

 

Izvor: https://www.ictbusiness.info/