Drupal 8 core security release - Higly Critical - Injection - Proxy mediation
https://blog.ip.gr/2016/07/drupal-8-core-security-release-higly-critical-injection-proxy-mediation.html
Δείτε online: https://www.drupal.org/SA-CORE-2016-003
* ID αναφοράς : DRUPAL-SA-2016-002
* Project: Drupal Core
* Έκδοση : 8.x
* Ημερομηνία : 2016-July-18
* Security risk: 20/25 ( Highly Critical)
AC:Basic/A:None/CI:All/II:All/E:Proof/TD:Default
* Τύπος Ευπάθειας : Injection
Το Drupal 8 χρησιμοποιεί μια βιβλιοθήκη τρίτου κατασκευαστή, την Guzzle, για να κάνει server-side HTTP requests. Κάποιος επιτιθέμενος μπορεί να παράσχει έναν proxy server τον οποίο θα χρησιμοποιήσει το Guzzle. Τα αποτελέσματα αναλύονται στη σελίδα https://httpoxy.org/
-------- Εκδόσεις που επηρεάζονται --------
* Drupal core 8.0.x versions prior to 8.1.7
-------- Λύση --------
Εγκταταστήστε την τελευταία έκδοση:
* Αν κάνετε χρήση του Drupal 8.0.x, αναβαθμίστε σε Drupal core 8.1.7
* Αν κάνετε χρήση του Drupal 7.0.x, δεν χρειάζεται να κάνετε κάποια αναβάθμιση, ίσως είναι όμως σημαντικό να ακολουθήσετε τα βήματα ασφαλείας που προτείνοται στον ιστότοπο https://httpoxy.org/ καθότι μπορεί να έχετε εγκατεστημένα modules ή άλλο λογισμικό το οποίο μπορεί να προσβληθεί από την ευπάθεια.
Για παράδειγμα, sites που χρησιμοποιούν τον Apache server μπορούν να περιλάβουν τον ακόλουθο κώδικα στο .htaccess αρχείο τους.
* ID αναφοράς : DRUPAL-SA-2016-002
* Project: Drupal Core
* Έκδοση : 8.x
* Ημερομηνία : 2016-July-18
* Security risk: 20/25 ( Highly Critical)
AC:Basic/A:None/CI:All/II:All/E:Proof/TD:Default
* Τύπος Ευπάθειας : Injection
Το Drupal 8 χρησιμοποιεί μια βιβλιοθήκη τρίτου κατασκευαστή, την Guzzle, για να κάνει server-side HTTP requests. Κάποιος επιτιθέμενος μπορεί να παράσχει έναν proxy server τον οποίο θα χρησιμοποιήσει το Guzzle. Τα αποτελέσματα αναλύονται στη σελίδα https://httpoxy.org/
-------- Εκδόσεις που επηρεάζονται --------
* Drupal core 8.0.x versions prior to 8.1.7
-------- Λύση --------
Εγκταταστήστε την τελευταία έκδοση:
* Αν κάνετε χρήση του Drupal 8.0.x, αναβαθμίστε σε Drupal core 8.1.7
* Αν κάνετε χρήση του Drupal 7.0.x, δεν χρειάζεται να κάνετε κάποια αναβάθμιση, ίσως είναι όμως σημαντικό να ακολουθήσετε τα βήματα ασφαλείας που προτείνοται στον ιστότοπο https://httpoxy.org/ καθότι μπορεί να έχετε εγκατεστημένα modules ή άλλο λογισμικό το οποίο μπορεί να προσβληθεί από την ευπάθεια.
Για παράδειγμα, sites που χρησιμοποιούν τον Apache server μπορούν να περιλάβουν τον ακόλουθο κώδικα στο .htaccess αρχείο τους.
<IfModule mod_headers.c>
RequestHeader unset Proxy
</IfModule>
Follow Us