ΑρχικήsecurityΝέες ενημερώσεις για το Drupal επιδιορθώνουν σημαντικά κενά ασφάλειας

Νέες ενημερώσεις για το Drupal επιδιορθώνουν σημαντικά κενά ασφάλειας

Drupal

Νέες, ενημερωμένες εκδόσεις έχουν ανακοινωθεί για τα Drupal 6 και 7, οι οποίες περιλαμβάνουν αλλαγές που σχετίζονται με την ασφάλεια και επιδιορθώνουν σημαντικές ευπάθειες, μια από τις οποίες θα μπορούσε να επιτρέψει σε έναν ενδεχόμενο εισβολέα να κάνει reset τον λογαριασμό ενός χρήστη, χωρίς τη χρήση κωδικού πρόσβασης.

Η ευπάθεια μπορεί να αξιοποιηθεί, υπό ορισμένες συνθήκες, μέσω της χρήσης ειδικά διαμορφωμένων διευθύνσεων URL για την επαναφορά κωδικών πρόσβασης (Reset Password Url).  Ένας απομακρυσμένος εισβολέας μπορεί να ξεγελάσει έναν εγγεγραμμένο χρήστη, για παράδειγμα κάποιον administrator, παρασύροντάς τον να επισκεφτεί έναν κακόβουλο σύνδεσμο ώστε να αναλάβει τον έλεγχο του διακομιστή.

 

Δεν επηρεάζονται όλες οι ιστοσελίδες

Η εκμετάλλευση του κενού ασφάλειας στο Drupal 7 είναι εφικτή, μόνο στην περίπτωση των ιστοσελίδων όπου η βάση δεδομένων περιέχει το ίδιο password hash για πολλαπλούς λογαριασμούς. Ο κίνδυνος είναι μεγαλύτερος για τους ιστότοπους που τρέχουν Drupal 6, στους οποίους οι διαχειριστές έχουν δημιουργήσει αρκετούς λογαριασμούς χρηστών που προστατεύονται με τον ίδιο κωδικό πρόσβασης.

“Τα sites σε Drupal 6 που έχουν κενά password hashes, ή κάποιο πεδίο κωδικού  με εύκολα προβλέψιμο string στη βάση δεδομένων, είναι ιδιαίτερα επιρρεπή σε αυτό το ζήτημα ευπάθειας. Αυτό θα μπορούσε να εφαρμοστεί σε ιστότοπους που χρησιμοποιούν εξωτερικά συστήματα επαλήθευσης ταυτότητας, έτσι ώστε το πεδίο του κωδικού πρόσβασης να έχει οριστεί σε μια σταθερή, μη έγκυρη τιμή” αναφέρει η συμβουλευτική ανακοίνωση της Drupal.

 

Ανακατεύθυνση σε ιστοσελίδες τρίτων

Η αναφερόμενη, δεν είναι η μοναδική ευπάθεια που επιδιορθώθηκε στις εκδόσεις 7.35 και 6.35 του DrupaΙ, καθώς οι προγενέστερες εκδόσεις του συστήματος διαχείρισης περιεχομένου ανοικτού κώδικα (CMS) είναι επίσης ευάλωτες σε ευπάθειες ανοιχτής ανακατεύθυνσης (Οpen Redirect Vulnerabilities), οι οποίες μπορούν να χρησιμοποιηθούν από εγκληματίες του κυβερνοχώρου για να ανακατευθύνουν τους χρήστες σε τοποθεσίες με κακόβουλο περιεχόμενο.

[alert variation=”alert-info”]Μέχρι τις 8 Μαρτίου, σύμφωνα με στατιστικά στοιχεία που παρέχονται από την DrupaΙ, έχουν καταγραφεί περισσότερες από 162.000 ιστοσελίδες που τρέχουν σε DrupaΙ 6.x και περίπου 1 εκατομμύριο ιστοσελίδες που βασίζονται σε DrupaΙ 7.x [/alert]

Προκειμένου να αποφύγουν κάθε πιθανό κίνδυνο, οι διαχειριστές ιστοσελίδων DrupaΙ συνιστάται να στραφούν στις τελευταίες εκδόσεις της πλατφόρμας, αναβαθμίζοντας άμεσα.

Nat BotPak
Nat BotPak
LIFE IS TOO SHORT to remove usb safely

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS