Otkrivena velika sigurnosna rupa u Drupal CMS

Projekt Drupal poziva website administratore da što prije instaliraju nadogradnje kako bi se osigurali da pronađena ranjivost ne načini štetu u narednom peroidu. Naime, otkriven je visokorizičan bug koji utječe na Drupal core CMS i zato se ništa nije prepuštalo slučaju, već se odmah zajednici poručilo da reagira što je prije moguće. Verzije koje su pogođene su Drupal 8.6.x, Drupal 8.5.x i ranije.

Možda nije šire poznato, ali Drupal je treći najpopularniji CMS za web stranice i čini oko tri posto udjela na tržištu. Na njemu je više od milijardu web stranica, što znači da se radi o više od 30 milijuna web stranica i već po tome je dovoljno jasno koliko su ova upozorenja bitna, te koliko je bitno što prije riješiti svaki mogući problem.

Jer, ukoliko hakeri iskoriste ranjivost nazvanu CVE-2019-6340, mogu pridobiti kontrolu nad web serverom, a sve zbog činjenice da neki tipovi datoteka ne reagiraju dobro s izvorima bez forme, kao što su RESTful web usluge. Taj izostanak reakcije dovodi do PHP egzekucije koda koji potiče ranjivost. Ona se, inače, može ukloniti i prije preuzimanja nadopune zabranom PUT/PATCH/POST zahtjeva prema resursima web usluga. Također, problem se može riješiti i nadogradnjom na novije verzije, a to podrazumijeva Drupal 8.6.10 i Drupal 8.5.11.

Situacija nije riješena ni nakon nadopune same Drupal 8 jezgre jer administratori moraju instalirati i sigurnosne nadopune za nekoliko Drupalovih projekata “treće strane”. To uključuje Font Awesome Icons, Translation Management Tool, Paragraphs, Video, Metatag, Link, JSON:API i RESTful Web Services.

Ukoliko su administratori uočili da se spominje Drupal 8 jezgra, tad moraju znati da ako imaju Drupal 7 jezgru, onda ne moraju preuzimati nadopune. Barem taj detalj olakšava administratorima život.

A oni kojima nije olaškan jer su napadnuti, možda bude malo lakše sa spoznajom da su hakeri iskoristili ranjivost samo kako bi postavili alate za rudarenje kriptovaluta, što se lako ukloni i ne čini nikakvu direktnu štetu.

 

Izvor: https://www.ictbusiness.info/

Koristimo kolačiće kako bi poboljšali Vaše korisničko iskustvo i funkcionalnost stranice. Više informacija o kolačićima možete pronaći ovdje.

Ključni su za upotrebu Internet stranice i bez istih stranica nema svoju punu funkcionalnost. Nastavkom surfanja i kupovinom neophodni se kolačići smatraju prihvaćenima. Funkcionalni kolačići mogu uključivati kolačiće koji pružaju uslugu koju je korisnik zatražio.

cookies_permission

Za pohranu prihvaćanja kolačića.

Ističe: 1 godina

Vrsta: HTTP

Prikupljaju se anonimno, ne mogu pratiti aktivnosti korisnika na drugim Internet stranicama i služe za praćenje ponašanja korisnika te u svrhu mjerenja ponašanja publike i sastavljanja izvješća za poboljšanja Internet stranice. Ovi kolačići omogućuju prijenos podataka u treće zemlje, uključujući SAD.

cookies_permission_analiza

Za pohranu prihvaćanja analitičkih kolačića.

Ističe: 1 godina

Vrsta: HTTP

sbjs_current

Za pohranu detalja preglednika.

Ističe: Sesija

Vrsta: HTTP

sbjs_current_add

Dodatni metapodaci o izvoru prometa trenutne sesije korisnika.

Ističe: Sesija

Vrsta: HTTP

sbjs_first

Bilježi izvor prometa prvog posjeta korisnika web stranici (npr. izvorni UTM parametri).

Ističe: 6 mjeseci

Vrsta: HTTP

sbjs_first_add

Pohranjuje dodatne pojedinosti o izvoru prometa za prvi posjet korisnika.

Ističe: 6 mjeseci

Vrsta: HTTP

sbjs_migrations

Prati prijelaze između izvora prometa, primjerice kada korisnik mijenja kampanje ili preporuke.

Ističe: 6 mjeseci

Vrsta: HTTP

sbjs_session

Prati podatke o prometu specifične za sesiju, kao što je izvor preporuke za trenutni posjet.

Ističe: Sesija

Vrsta: HTTP

sbjs_udata

Pohranjuje skupne korisničke podatke, kao što je kombinacija izvora prometa kroz posjete.

Ističe: 6 mjeseci

Vrsta: HTTP

Kolačići su male tekstne datoteke koje internetske stranice koriste kako bi unaprijedile korisničko iskustvo.

Zakon dopušta spremanje kolačića na vaš uređaj ako je to izričito potrebno za rad stranice. Za sve ostale vrste kolačića trebamo vašu suglasnost.

Ove stranice koriste različite vrste kolačića. Neke kolačiće postavljaju usluge trećih strana koje se prikazuju na našim stranicama.

Vašu suglasnost za Izjavu o kolačićima na našim internetskim stranicama možete u bilo kojem trenutku promijeniti ili povući.

Više informacija o tome tko smo mi, kako nas možete kontaktirati i kako obrađujemo vaše osobne podatke možete pronaći u našoj Politici privatnosti.

Molimo vas da pri kontaktiranju vezano za vašu suglasnost navedete svoj ID broj suglasnosti i datum isteka iste.