www.

Πέμπτη, 19 Μαρτίου 2020

Drupal Core - Σημαντική αναβάθμιση ασφαλείας – Third-party library (CKEditor)


Μία νέα αναβάθμιση ασφαλείας της διαδεδομένης εφαρμογής Drupal είναι πλέον διαθέσιμη και αποσκοπεί στη διόρθωση ευπάθειας της βιβλιοθήκης CKEditor.

Project: Drupal core
Ημερομηνία: 18 Μαρτίου 2020
Ευπάθεια: Third-party library
Περιγραφή: Το project Drupal κάνει χρήση της βιβλιοθήκης CKEditor, για την οποία κυκλοφόρησε πρόσφατα μία αναβάθμιση ασφαλείας που κρίνεται απαραίτητη προκειμένου να προστατευτούν ορισμένες ρυθμίσεις του Drupal.

Σε περίπτωση που το Drupal κάνει χρήση του WYSIWYG CKEditor για τους χρήστες της σελίδας σας, υπάρχει πιθανότητα να αντιμετωπίσετε ευπάθειες. Όταν πολλαπλοί χρήστες μπορούν να επεξεργαστούν το περιεχόμενο, η ευπάθεια αυτή μπορεί να αποτελέσει δούρειο ίππο για XSS επιθέσεις προς άλλους χρήστες, συμπεριλαμβανομένων των διαχειριστών της σελίδας με περισσότερα δικαιώματα.

Η τελευταίες εκδόσεις του Drupal περιέχουν και αναβάθμιση του CKEditor στην έκδοση 4.14 προκειμένου να αντιμετωπίσουν τις όποιες ευπάθειες.

Λύση:
Εγκαταστήστε την τελευταία έκδοση του Drupal.
  • Εάν χρησιμοποιείτε Drupal 8.8.x, αναβαθμίστε στην έκδοση 8.8.4
  • Εάν χρησιμοποιείτε Drupal 8.7.x, αναβαθμίστε στην έκδοση 8.7.12 
Οι προγενέστερες εκδόσεις του Drupal 8.7.x δεν υποστηρίζονται σε θέματα κενών ασφαλείας καθώς αποτελούν αρκετά παρωχημένες εκδόσεις.

Εναλλακτικά, μπορείτε να απενεργοποιήσετε το CKEditor module προκειμένου να μετριάσετε την ευπάθεια μέχρι να πραγματοποιηθεί αναβάθμιση της σελίδας.

Σημείωση για τους χρήστες του Drupal 7
Η δημοσίευση αυτής της αναβάθμισης ασφαλείας δεν απευθύνεται στους χρήστες του
Drupal 7 core. Παρόλα αυτά οι χρήστες που έχουν εγκαταστήσει τη βιβλιοθήκη CKEditor, θα πρέπει να μεριμνήσουν για την αναβάθμιση της έκδοσής της στην 4.14 (ή σε μεγαλύτερη) ή εναλλακτικά τα CDN URLs να κατευθύνουν στην έκδοση 4.14 (ή σε μεγαλύτερη). Επιπλέον, όπως αναφέραμε και παραπάνω, η απενεργοποίηση όλων των WYSIWYG modules θα ήταν μία προσωρινή λύση έως ότου αναβαθμιστεί η σελίδα σας σε μια πιο πρόσφατη έκδοση του Drupal.  

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR