Запушиха критична уязвимост във всички версии на Drupal

0
259

Изследовател по сигурността е алармирал екипа на Drupal за критична уязвимост във всички версии на платформата. Проблемът е толкова сериозен, че освен за 7,8 и 9, Drupal са издали пач и към вече неподдържаната шеста версия. Екипът поддържащ сигурността на CMS платформата е запушил дупката във версии 7.58, 8.5.1, 8.3.9 и 8.4.6.

Идентификационният номер, който е даден на уязвимостта е CVE-2018-7600, а степента на риск е заложена като 21/25. Успешното ѝ експлоатиране може да позволи вземането на пълен контрол над интернет ресурса, модифицирането и триенето на данни.

Освен налагането на неуязвима версия, собствениците на Drupal инсталации могат да минимизират проблема като направят някои промени по конфигурациите си, но те могат да бъдат определени като „крайни“.. „Има няколко решения, но всички те са изградени на идеята да не се предлагат уязвимите Drupal страници на посетителите. Временната подмяна на Drupal сайта ви със статичен HTML е ефективен метод. За тестови (staging) сайтове или такива за разработка може да деактивирате сайта или да включите Basic Auth парола, за да предотвратите достъпа до него“, пишат Drupal.

От CDN компанията Cloudflare вече обявиха, че са вкарали конкретно правило в уеб-апликационната си стена, с което да бъдат спрени евентуални атаки. От Drupal споделят, че не им е известно уязвимостта да е била експлоатирана в живи атаки и макар всякакви технически характеристики за изпълнението ѝ да не се разкриват, специалистите очакват изготвянето на експлойти за нея и атаки да стартират до дни или даже до часове. Това е и причината Drupal да са уведомили всички преди седмица.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за