www.

Πέμπτη, 13 Νοεμβρίου 2014

Ενημερώσεις για κενά ασφαλείας σε modules του Drupal (Scheduler, Webform, Freelinking)

Η ομάδα ασφαλείας του Drupal εντόπισε κενά ασφαλείας σε ορισμένα από τα modules που σχετίζονται με την εφαρμογή και δίνει λύσεις για τη διασφάλιση και την προστασία του website σας.

1. module Scheduler - Cross Site Scripting (XSS) vulnerability.

Πιο συγκεκριμένα, κενό ασφαλείας εντοπίστηκε στο module Scheduler, το οποίο επιτρέπει σε nodes να δημοσιεύονται και να αποδημοσιεύονται σε συγκεκριμένες ημερομηνίες. Αυτό το module επιτρέπει στους διαχειριστές να παρέχουν επιπρόσθετο κείμενο βοήθειας στη φόρμα επεξεργασίας περιεχομένου, όταν ο προγραμματισμός (scheduling) είναι ενεργοποιημένος.

Το module δεν ελέγχει επαρκώς το κείμενο της βοήθειας γεγονός που μπορεί να οδηγήσει σε επιθέσεις Cross Site Scripting (XSS).

Αυτό το κενό ασφαλείας περιορίζεται από το γεγονός ότι αυτός που θα κάνει την επίθεση θα πρέπει να έχει ρόλο με δικαιώματα "administer scheduler" και δεν σχετίζεται με την core έκδοση του Drupal.

-------- Εκδόσεις που επηρεάζονται --------
 * Scheduler 6.x-1.x εκδόσεις πριν την 6.x-1.10.
 * Scheduler 7.x-1.x εκδόσεις πριν την 7.x-1.3.

Περισσότερες πληροφορίες και σχετική βοήθεια μπορείτε να βρείτε εδώ:

http://www.drupal.org/node/2373961


2. Webform Component Roles - Access Bypass

Ευπάθεια εντοπίστηκε και στο Webform component module, το οποίο επιτρέπει στους διαχειριστές του site να περιορίζουν την εμφάνιση ή τη δυνατότητα επεξεργασίας των webform components, ανάλογα με τους ρόλους χρήστη.

Το module αυτό δεν ελέγχει επαρκώς εάν οι τιμές των απενεργοποιημένων component δεν έχουν αλλαχθεί πριν την υποβολή της φόρμας.

-------- Εκδόσεις που επηρεάζονται --------
 * Scheduler 6.x-1.x εκδόσεις πριν την 6.x-1.8.
 * Scheduler 7.x-1.x εκδόσεις πριν την 7.x-1.8.

Δείτε όλες τις σχετικές πληροφορίες και οδηγίες για την επίλυση του προβλήματος εδώ:

http://www.drupal.org/node/2373973


3. Freelinking module - Cross Site Scripting (XSS) vulnerability.

Τέλος, κενό εντοπίστηκε και στο Freelinking module το οποίο υλοποιεί ένα μηχανισμό φιλτραρίσματος για την ευκολότερη δημιουργία συνδέσμων HTML προς άλλες σελίδες στο site σας ή σε εξωτερικά sites.

Αυτό το module δεν ελέγχει τον τίτλο του κόμβου όταν παρέχει ένα link προς αυτό τον κόμβο, δημιουργώντας έτσι μια ευπάθεια σε Cross Site Scripting (XSS) επιθέσεις.

Αυτό το κενό ασφαλείας περιορίζεται από το γεγονός ότι το πρόσωπο που δημιουργεί το περιεχόμενο το οποίο περιέχει το σύνδεσμο πρέπει να έχει ρόλο που να επιτρέπει τη χρήση κειμένου σε μη ασφαλή μορφή (για παράδειγμα "Full HTML"), ή το φίλτρο του Freelinking έχει τοποθετηθεί μετά από όλα τα άλλα φίλτρα ασφαλείας (όπως για παράδειγμα το "Limit allowed HTML tags" ) σε μια κατά τα άλλα ασφαλή μορφή κειμένου (για παράδειγμα "Filtered HTML").

Παρακαλούμε σημειώστε ότι αυτό το κενό ασφαλείας υπήρχε στο freelinking_nodetitle.inc σε προηγούμενες εκδόσεις από την 6.x-3.4 and 7.x-3.4 και έχει διορθωθεί με τις εκδόσεις 6.x-3.4 and 7.x-3.4.

Μπορείτε να βρείτε όλες τις σχετικές πληροφορίες εδώ:

http://www.drupal.org/node/2373981

-------- Εκδόσεις που επηρεάζονται --------
 * Scheduler 6.x-x.x εκδόσεις πριν την 6.x-3.5.
 * Scheduler 7.x-x.x εκδόσεις πριν την 7.x-3.5.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR