Οι προγραμματιστές που είναι υπέυθυνοι για την ανάπτυξη του Drupal δημοσίευσαν την τελευταία έκδοση του γνωστού συστήματος διαχείρισης περιεχομένου έτσι ώστε να διορθώσουν μια πολύ σοβαρή ευπάθεια η οποία εντοπίστηκε στο κώδικά του.
Η ενημέρωση ήρθε δύο ημέρες αφότου η ομάδα ασφαλείας του Drupal εξέδωσε μια προκαταρκτική ειδοποίηση ασφαλείας για τα επερχόμενα patches, δίνοντας στους διαχειριστές ιστότοπων ένα πρόωρο heads-up για να διορθώσουν τις ιστοσελίδες τους πριν οι hackers εκμεταλλευτούν το κενό ασφαλείας.
Η εν λόγω ευπάθεια είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα (RemoteCodeExecution) στο Drupal Core “που θα μπορούσε να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα PHP σε ορισμένες περιπτώσεις “, δήλωσε η ομάδα ασφαλείας του Drupal.
Ενώ η ομάδα του Drupal δεν έχει εκδώσει τεχνικές λεπτομέρειες για την ευπάθεια (CVE-2019-6340), ανέφερε ότι το ελάττωμα οφείλεται στο γεγονός ότι ορισμένοι τύποι πεδίων δεν εξυγιάνουν σωστά τα δεδομένα τα οποία οι χρήστες εισάγουν.
Θα πρέπει επίσης να σημειωθεί ότι ο ιστότοπός σας που βασίζεται στο Drupal επηρεάζεται μόνο εάν είναι ενεργοποιημένη η λειτουργική μονάδα των RESTful Web Services και επιτρέπει PATCH ή POST αιτήματα.
Εάν δεν μπορείτε να εγκαταστήσετε αμέσως την πιο πρόσφατη ενημερωμένη έκδοση, τότε μπορείτε να μετριάσετε την ευπάθεια απλά απενεργοποιώντας όλες τις ενότητες υπηρεσιών ιστού ή διαμορφώνοντας τους διακομιστές (web servers) σας ώστε να μην επιτρέπουν αιτήσεις PUT / PATCH / POST.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
