Drupal Core - Σημαντική αναβάθμιση ασφαλείας – Third-party library (CKEditor)
https://blog.ip.gr/2020/03/drupal-core-third-party-library-ckeditor.html
Μία νέα αναβάθμιση ασφαλείας της διαδεδομένης εφαρμογής Drupal είναι πλέον διαθέσιμη και αποσκοπεί στη διόρθωση ευπάθειας της βιβλιοθήκης CKEditor.
Project: Drupal core
Ημερομηνία: 18
Μαρτίου 2020
Ευπάθεια: Third-party
library
Περιγραφή: Το project
Drupal κάνει χρήση της
βιβλιοθήκης CKEditor, για
την οποία κυκλοφόρησε πρόσφατα μία
αναβάθμιση ασφαλείας που κρίνεται
απαραίτητη προκειμένου να προστατευτούν
ορισμένες ρυθμίσεις του Drupal.
Σε περίπτωση που το Drupal κάνει χρήση του WYSIWYG CKEditor για τους χρήστες της σελίδας σας, υπάρχει πιθανότητα να αντιμετωπίσετε ευπάθειες. Όταν πολλαπλοί χρήστες μπορούν να επεξεργαστούν το περιεχόμενο, η ευπάθεια αυτή μπορεί να αποτελέσει δούρειο ίππο για XSS επιθέσεις προς άλλους χρήστες, συμπεριλαμβανομένων των διαχειριστών της σελίδας με περισσότερα δικαιώματα.
Η τελευταίες
εκδόσεις του Drupal περιέχουν
και αναβάθμιση του CKEditor στην έκδοση
4.14 προκειμένου να αντιμετωπίσουν τις
όποιες ευπάθειες.
Λύση:
Εγκαταστήστε την
τελευταία έκδοση του Drupal.
- Εάν χρησιμοποιείτε Drupal 8.8.x, αναβαθμίστε στην έκδοση 8.8.4
- Εάν χρησιμοποιείτε Drupal 8.7.x, αναβαθμίστε στην έκδοση 8.7.12
Οι προγενέστερες
εκδόσεις του Drupal 8.7.x δεν
υποστηρίζονται σε θέματα κενών ασφαλείας
καθώς αποτελούν αρκετά παρωχημένες
εκδόσεις.
Εναλλακτικά,
μπορείτε να απενεργοποιήσετε το CKEditor
module προκειμένου να μετριάσετε την
ευπάθεια μέχρι να πραγματοποιηθεί
αναβάθμιση της σελίδας.
Σημείωση
για τους χρήστες του Drupal
7
Η
δημοσίευση αυτής της αναβάθμισης
ασφαλείας δεν απευθύνεται στους χρήστες
του
Drupal 7 core. Παρόλα αυτά οι χρήστες που έχουν εγκαταστήσει τη βιβλιοθήκη CKEditor, θα πρέπει να μεριμνήσουν για την αναβάθμιση της έκδοσής της στην 4.14 (ή σε μεγαλύτερη) ή εναλλακτικά τα CDN URLs να κατευθύνουν στην έκδοση 4.14 (ή σε μεγαλύτερη). Επιπλέον, όπως αναφέραμε και παραπάνω, η απενεργοποίηση όλων των WYSIWYG modules θα ήταν μία προσωρινή λύση έως ότου αναβαθμιστεί η σελίδα σας σε μια πιο πρόσφατη έκδοση του Drupal.
Drupal 7 core. Παρόλα αυτά οι χρήστες που έχουν εγκαταστήσει τη βιβλιοθήκη CKEditor, θα πρέπει να μεριμνήσουν για την αναβάθμιση της έκδοσής της στην 4.14 (ή σε μεγαλύτερη) ή εναλλακτικά τα CDN URLs να κατευθύνουν στην έκδοση 4.14 (ή σε μεγαλύτερη). Επιπλέον, όπως αναφέραμε και παραπάνω, η απενεργοποίηση όλων των WYSIWYG modules θα ήταν μία προσωρινή λύση έως ότου αναβαθμιστεί η σελίδα σας σε μια πιο πρόσφατη έκδοση του Drupal.
Follow Us