Drupal security release - εκδόσεις 6, 7 και 8 - Vulnerable database enclosure
https://blog.ip.gr/2015/12/drupal-security-release-6-7-8-vulnerable-database-enclosure.html
Δείτε online: https://www.drupal.org/PSA-2015-001
* ID αναφοράς : DRUPAL-PSA-CONTRIB-2015-001
* Project: Drupal Core
* Έκδοση : 6.x, 7.x, 8.x
* Ημερομηνία : 2015 - Δεκεμβριος - 2
* Security risk: 17/25 (Critical)
AC:Basic/A:None/CI:Some/II:Some/E:Exploit/TD:Uncommoν
* Τύπος Ευπάθειας : Πολλαπλές ευπάθειες
Όταν κατά την εγκτάσταση του Drupal δεν ολοκλρώνεται το configuration της Βάσης Δεδομένων και το αρχείο install.php παραμένει στον server προσπελάσιμο από το web, κάθε επισκέπτης που ανοίξει τη σελίδα install.php μπορεί να κάνει ολοκλήρωση της εγκατάστασης συνδέοντας μια απομακρυσμένη Βάση Δεδομένων με το Drupal.
Αν ο χρήστης αυτός είναι κακόβουλος μπορεί να χρησιμοποιήσει την απομακρυσμένη βάση δεδομένων για την εκτέλεση κακόβουλου κώδικα στον server.
Αυτός ο κίνδυνος υπάρχει και σε sites τα οποία αλληλεπιδρούν με hostnames που έχουν σελίδα εγκατάστασης και ο φάκελος τους sites είναι εγγράψιμος από τον web server. Τέτοια multisites μπορούν να προκύψουν όταν δεν υπάρχει προεπιλεγμένο αρχείο settings.php και τα δικαιώματα του φακέλου δεν είναι σωστά ρυθμισμένα.
Αυτές οι ευπάθειες μετριάζονται ρυθμίζοντας τα δικαιώματα αρχείων και φακέλων ώστε να απαγορεύουν από τον webserver το δικαίωμα εγγραφής στους φακέλους sites/default/ και sites/.
-------- Εκδόσεις που επηρεάζονται --------
* Οι εκδόσεις του Drupal 6 core, Drupal 7 core, Drupal 8 core.
-------- Λύση --------
Ολοκληρώνετε πάντοντε τις εγκαταστάσεις σας μέχρι το τελευταίο βήμα. Σιγουρευτείτε ότι ο φάκελος sites δεν ανήκει και δεν είναι εγγράψιμος από τον webserver .
Απομακρύνετε το αρχείο install.php μετά την ολοκλήρωση της εγκατάστασης.
Μελετήστε το ενδεχόμενο εγκατάστασης του Security Review (https://www.drupal.org/project/security_review) το οποίο θα εντοπίσει αρχεία με λάθος δικαιώματα και ιδιοκτήτη.
* ID αναφοράς : DRUPAL-PSA-CONTRIB-2015-001
* Project: Drupal Core
* Έκδοση : 6.x, 7.x, 8.x
* Ημερομηνία : 2015 - Δεκεμβριος - 2
* Security risk: 17/25 (Critical)
AC:Basic/A:None/CI:Some/II:Some/E:Exploit/TD:Uncommoν
* Τύπος Ευπάθειας : Πολλαπλές ευπάθειες
Όταν κατά την εγκτάσταση του Drupal δεν ολοκλρώνεται το configuration της Βάσης Δεδομένων και το αρχείο install.php παραμένει στον server προσπελάσιμο από το web, κάθε επισκέπτης που ανοίξει τη σελίδα install.php μπορεί να κάνει ολοκλήρωση της εγκατάστασης συνδέοντας μια απομακρυσμένη Βάση Δεδομένων με το Drupal.
Αν ο χρήστης αυτός είναι κακόβουλος μπορεί να χρησιμοποιήσει την απομακρυσμένη βάση δεδομένων για την εκτέλεση κακόβουλου κώδικα στον server.
Αυτός ο κίνδυνος υπάρχει και σε sites τα οποία αλληλεπιδρούν με hostnames που έχουν σελίδα εγκατάστασης και ο φάκελος τους sites είναι εγγράψιμος από τον web server. Τέτοια multisites μπορούν να προκύψουν όταν δεν υπάρχει προεπιλεγμένο αρχείο settings.php και τα δικαιώματα του φακέλου δεν είναι σωστά ρυθμισμένα.
Αυτές οι ευπάθειες μετριάζονται ρυθμίζοντας τα δικαιώματα αρχείων και φακέλων ώστε να απαγορεύουν από τον webserver το δικαίωμα εγγραφής στους φακέλους sites/default/ και sites/.
-------- Εκδόσεις που επηρεάζονται --------
* Οι εκδόσεις του Drupal 6 core, Drupal 7 core, Drupal 8 core.
-------- Λύση --------
Ολοκληρώνετε πάντοντε τις εγκαταστάσεις σας μέχρι το τελευταίο βήμα. Σιγουρευτείτε ότι ο φάκελος sites δεν ανήκει και δεν είναι εγγράψιμος από τον webserver .
Απομακρύνετε το αρχείο install.php μετά την ολοκλήρωση της εγκατάστασης.
Μελετήστε το ενδεχόμενο εγκατάστασης του Security Review (https://www.drupal.org/project/security_review) το οποίο θα εντοπίσει αρχεία με λάθος δικαιώματα και ιδιοκτήτη.
Follow Us