Drupal tung ra bản cập nhật để vá hai lỗ hổng thực thi mã từ xa

DDos

VIP Members
22/10/2013
524
2.189 bài viết
Drupal tung ra bản cập nhật để vá hai lỗ hổng thực thi mã từ xa
Các bản cập nhật phát hành hôm thứ Tư cho Drupal 7 và 8 đã vá nhiều lỗ hổng nghiêm trọng, gồm nhiều vấn đề được đánh giá “nguy hiểm”. Cụ thể, bản cập nhật lần này được tung ra để vá 2 lỗi thực thi từ xa, một lỗi vượt qua cơ chế truy cập (access bypass) và một lỗi Open Redirect.

drupal.png

Tất cả các phiên bản của hệ thống quản lý nội dung của Drupal đều bị ảnh hưởng bởi hai lỗ hổng rất nghiêm trọng. Hacker có thể dễ dàng khai thác lỗi này để kiểm soát hoàn toàn các trang web bị ảnh hưởng. Lỗi RCE thứ nhất bắt nguồn từ việc không kiểm tra kỹ các đối số shell (shell arguments). Drupal không mô tả rõ ràng rằng lỗi này có yêu cầu xác thực hay không, nhưng nó được Drupal đánh giá là cực kỳ nghiêm trọng (critical). Lỗi RCE thứ hai bắt nguồn từ Contextual Links modul. Tuy nhiên để khai thác lỗi này, kẻ tấn công phải có quyền truy cập vào Contextual Links.

Phiên bản chịu ảnh hưởng bởi các lỗ hổng kể trên
  • Drupal 7.x version < 7.60
  • Drupal 8.6.x version < 8.6.2
  • Drupal 8.5.x (and versions earlier than 5.x) version < 8.5.8
Phiên bản không chịu ảnh hưởng bởi các lỗ hổng kể trên
Giải pháp

Drupal đã chính thức tung ra các phiên bản mới để vá các lỗ hổng này, các quản trị viên website đang sử dụng Drupal, hãy cập nhật phiên bản Drupal mới nhất để khắc phục và đảm bảo an toàn cho website. Chi tiết hơn các bạn có thể xem thêm tại đây.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên