Drupal cập nhật phiên bản vá lỗi bảo mật cho phép tấn công website

Các nhà phát triển của Drupal – một phần mềm hệ thống quản lý nội dung nguồn mở phổ biến, cung cấp sức mạnh cho hàng triệu trang web – đã phát hành phiên bản mới nhất của phần mềm của họ để vá lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công từ xa hack trang web của bạn.

Bản cập nhật được đưa ra hai ngày sau khi nhóm bảo mật Drupal đưa ra thông báo bảo mật trước về các bản vá sắp tới, giúp các quản trị viên trang web sớm phải sửa chữa trang web của họ trước khi tin tặc lạm dụng lỗ hổng.

Đây là một lỗ hổng thực thi mã từ xa (RCE) quan trọng trong Drupal Core có thể “dẫn đến việc thực thi mã PHP tùy ý trong một số trường hợp”, nhóm bảo mật Drupal nói.

Mặc dù nhóm Drupal chưa công bố bất kỳ chi tiết kỹ thuật nào về lỗ hổng (CVE-2019-6340), nhưng nó đã đề cập rằng lỗ hổng này tồn tại do một số loại trường không lọc đúng cách dữ liệu từ các nguồn không đúng định dạng và ảnh hưởng đến core Drupal 7 và 8.

Cũng cần lưu ý rằng trang web dựa trên Drupal của bạn chỉ bị ảnh hưởng nếu mô-đun RESTful Web Services (phần còn lại) được bật và cho phép các yêu cầu PATCH hoặc POST hoặc nó có bật mô-đun dịch vụ web khác.

Nếu bạn không thể cài đặt ngay bản cập nhật mới nhất, thì bạn có thể giảm thiểu lỗ hổng bằng cách vô hiệu hóa tất cả các mô-đun dịch vụ web hoặc định cấu hình (các) máy chủ web của bạn để không cho phép các yêu cầu PUT / PATCH / POST đối với tài nguyên dịch vụ web.

“Lưu ý rằng tài nguyên dịch vụ web có thể có sẵn trên nhiều đường dẫn tùy thuộc vào cấu hình của máy chủ của bạn”, Drupal cảnh báo trong tư vấn bảo mật được công bố hôm thứ Tư.

“Đối với Drupal 7, ví dụ, tài nguyên thường có sẵn thông qua các đường dẫn (URL sạch) và thông qua các đối số cho đối số truy vấn” q “. Đối với Drupal 8, các đường dẫn vẫn có thể hoạt động khi được thêm tiền tố với index.php /.”

Tuy nhiên, xem xét mức độ phổ biến của việc khai thác Drupal giữa các hacker, bạn nên cài đặt bản cập nhật mới nhất:

  • Nếu bạn đang sử dụng Drupal 8.6.x, hãy nâng cấp trang web của bạn lên Drupal 8.6.10.
  • Nếu bạn đang sử dụng Drupal 8.5.x trở về trước, hãy nâng cấp trang web của bạn lên Drupal 8.5.11

Drupal cũng nói rằng bản thân mô-đun Dịch vụ Drupal 7 không yêu cầu cập nhật, nhưng người dùng vẫn nên xem xét áp dụng các cập nhật đóng góp khác liên quan đến lời khuyên mới nhất nếu “Dịch vụ” được sử dụng.

Drupal đã tin tưởng Samuel Mortenson của nhóm bảo mật của mình để khám phá và báo cáo lỗ hổng.

bình luận

Leave a Comment