www.

Τρίτη, 19 Ιουλίου 2016

Drupal 8 core security release - Higly Critical - Injection - Proxy mediation

Δείτε online: https://www.drupal.org/SA-CORE-2016-003
* ID αναφοράς : DRUPAL-SA-2016-002
* Project: Drupal Core
* Έκδοση : 8.x
* Ημερομηνία : 2016-July-18
* Security risk: 20/25 ( Highly Critical)
AC:Basic/A:None/CI:All/II:All/E:Proof/TD:Default
* Τύπος Ευπάθειας : Injection

Το Drupal 8 χρησιμοποιεί μια βιβλιοθήκη τρίτου κατασκευαστή, την Guzzle, για να κάνει server-side HTTP requests. Κάποιος επιτιθέμενος μπορεί να παράσχει έναν proxy server τον οποίο θα χρησιμοποιήσει το Guzzle. Τα αποτελέσματα αναλύονται στη σελίδα https://httpoxy.org/

-------- Εκδόσεις που επηρεάζονται --------
* Drupal core 8.0.x versions prior to 8.1.7


-------- Λύση --------
Εγκταταστήστε την τελευταία έκδοση: 
* Αν κάνετε χρήση του Drupal 8.0.x, αναβαθμίστε σε Drupal core 8.1.7
* Αν κάνετε χρήση του Drupal 7.0.x, δεν χρειάζεται να κάνετε κάποια αναβάθμιση, ίσως είναι όμως σημαντικό να ακολουθήσετε τα βήματα ασφαλείας που προτείνοται στον ιστότοπο https://httpoxy.org/ καθότι μπορεί να έχετε εγκατεστημένα modules ή άλλο λογισμικό το οποίο μπορεί να προσβληθεί από την ευπάθεια.

Για παράδειγμα, sites που χρησιμοποιούν τον Apache server μπορούν να περιλάβουν τον ακόλουθο κώδικα στο .htaccess αρχείο τους.
<IfModule mod_headers.c>
  RequestHeader unset Proxy
</IfModule>

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR