RU
21.02.2019

Vulnerabilitate în Drupal permite executarea codului la distanță

În Drupal 8.X unele tipuri de câmpuri nu santifică corect datele din surse non-formale. Acest lucru poate duce în unele cazuri la executarea arbitrară a codului PHP.

Un site este afectat de această vulnerabilitate numai dacă este îndeplinită una dintre următoarele condiții:
• Site-ul are activat modulul RESTful Web Services (restul) Drupal 8 core și permite solicitările PATCH sau POST sau
• site-ul are un alt modul de servicii web activat, cum ar fi JSON: API în Drupal 8, sau RESTful Web Services în Drupal 7.
NOTĂ: Modulul Drupal 7 Services în sine nu are nevoie de o actualizare în acest moment, dar trebuie să aplicați în continuare alte actualizări asociate acestei vulnerabilităţi dacă serviciile sunt în uz.

Pentru a atenua imediat vulnerabilitatea, puteți dezactiva toate modulele de servicii web sau puteți configura serverul web să nu permită solicitările PUT / PATCH / POST la resursele de servicii web.
Rețineți că resursele de servicii web pot fi disponibile pe mai multe căi, în funcție de configurația serverului dvs.
Pentru Drupal 7, resursele sunt de obicei disponibile de obicei prin căi (URL-uri standard) și prin argumente de interogare "q".
Pentru Drupal 8, căile pot funcționa în continuare atunci când sunt prefixate cu index.php /.

Recomandarea Drupal pentru utilizatorii care rulează versiunile 8.5.x și 8.6.x este să faceți upgrade imediat la cele mai recente versiuni - în prezent 8.5.11 și 8.6.11.
Drupal 7 nu trebuie să fie actualizat, dar există și unele actualizări pentru modulele de contribuție Drupal 7.

Orange Moldova CERT recomandă administratorilor să actualizeze versiunile cât mai curând posibil.


Buletin informativ

Primeşte ştiri de top direct pe email