www.

Παρασκευή, 22 Φεβρουαρίου 2019

Αναβαθμίσεις ασφαλείας σε Drupal 7 και Drupal 8




Νέα έκδοση Drupal για τη διόρθωση ευπαθειών σε περιπτώσεις απομακρυσμένης εκτέλεσης κώδικα.

Drupal Core - Απομακρυσμένη εκτέλεση κώδικα


Project: Drupal core
Ημερομηνία έκδοσης: 20 Φεβρουαρίου 2019
Ευπάθεια: Απομακρυσμένη εκτέλεση κώδικα
Περιγραφή: Ορισμένοι τύποι πεδίων δεν κάνουν επαρκή εκκαθάριση δεδομένων σε δεδομένα που προέρχονται από άλλες πηγές δεδομένων πέραν των κλασικών φορμών html.

Ένας ιστότοπος επηρεάζεται από αυτό εάν πληροί συγχρόνως μία από τις παρακάτω υποθέσεις:
  • Ο ιστότοπος να έχει ενεργοποιήσει το module RESTful Web Services (rest) του Drupal 8 και να επιτρέπει αιτήματα PATCH ή POST, ή
  • Ο ιστότοπος να έχει ενεργοποιημένο ένα άλλο module για web services, όπως το JSON:API για το Drupal 8, ή το Services ή το RESTful Web Services για το Drupal 7.
Σημείωση: Το module Services του Drupal 7 δεν απαιτεί ενημέρωση αυτήν τη στιγμή, αλλά θα πρέπει να εφαρμόσετε άλλες βοηθητικές ενημερώσεις που σχετίζονται με αυτή ενημέρωση, εάν το module Services είναι σε χρήση.

Λύση:
  • Εάν χρησιμοποιείτε την έκδοση Drupal 8.6.x, αναβαθμίστε την στην έκδοση Drupal 8.6.10
  • Εάν χρησιμοποιείτε την έκδοση 8.5.x, ή κάποια προηγούμενη, αναβαθμίστε την στην έκδοση Drupal 8.5.11.
  • Να είστε βέβαιοι ότι εγκαταστήσατε όλες τις διαθέσιμες ενημερώσεις ασφαλείας μετά την αναβάθμιση του Drupal Core.
  • Δεν απαιτείται κάποια αναβάθμιση για την έκδοση Drupal 7, αλλά μερικά από τα συνεργαζόμενα modules Drupal 7 απαιτούν ενημέρωση.
Οι εκδόσεις Drupal 8 μέχρι και την 8.5.x είναι στο τέλος του κύκλου ζωής τους και δεν καλύπτονται από τις ενημερώσεις ασφαλείας.

Για να μετριάσετε την ευπάθεια αυτή μπορείτε να απενεργοποιήσετε όλα τα web services modules, ή να διαμορφώσετε τους servers ώστε να μην επιτρέπουν αιτήματα PUT/PATCH/POST σε web services recources. Σημειώστε ότι web services recources μπορεί να διατεθούν σε ποικίλες διαδρομές ανάλογα με τη configuration του εκάστοτε server.

Για το Drupal 7, για παράδειγμα, οι πόροι διατίθετναι συνήθως μέσω paths (καθαρά URLs) και μέσω ορισμάτων στην παράμετρο "q" (query parameter).
Στο Drupal 8, τα paths μπορεί να λειτουργούν ακόμη και με τη χρήση του προθέματος index.php/.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR