Οι προγραμματιστές που είναι υπέυθυνοι για την ανάπτυξη του Drupal δημοσίευσαν την τελευταία έκδοση του γνωστού συστήματος διαχείρισης περιεχομένου έτσι ώστε να διορθώσουν μια πολύ σοβαρή ευπάθεια η οποία εντοπίστηκε στο κώδικά του.

Η ενημέρωση ήρθε δύο ημέρες αφότου η ομάδα ασφαλείας του Drupal εξέδωσε μια προκαταρκτική ειδοποίηση ασφαλείας για τα επερχόμενα patches, δίνοντας στους διαχειριστές ιστότοπων ένα πρόωρο heads-up για να διορθώσουν τις ιστοσελίδες τους πριν οι hackers εκμεταλλευτούν το κενό ασφαλείας.

Η εν λόγω ευπάθεια είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα (RemoteCodeExecution) στο Drupal Core “που θα μπορούσε να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα PHP σε ορισμένες περιπτώσεις “, δήλωσε η ομάδα ασφαλείας του Drupal. 

Ενώ η ομάδα του Drupal δεν έχει εκδώσει τεχνικές λεπτομέρειες για την ευπάθεια (CVE-2019-6340), ανέφερε ότι το ελάττωμα οφείλεται στο γεγονός ότι ορισμένοι τύποι πεδίων δεν εξυγιάνουν σωστά τα δεδομένα τα οποία οι χρήστες εισάγουν.

Θα πρέπει επίσης να σημειωθεί ότι ο ιστότοπός σας που βασίζεται στο Drupal επηρεάζεται μόνο εάν είναι ενεργοποιημένη η λειτουργική μονάδα των RESTful Web Services και επιτρέπει PATCH ή POST αιτήματα. 

Εάν δεν μπορείτε να εγκαταστήσετε αμέσως την πιο πρόσφατη ενημερωμένη έκδοση, τότε μπορείτε να μετριάσετε την ευπάθεια απλά απενεργοποιώντας όλες τις ενότητες υπηρεσιών ιστού ή διαμορφώνοντας τους διακομιστές (web servers) σας ώστε να μην επιτρέπουν αιτήσεις PUT / PATCH / POST.

 

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.