Drupal Core - αναβαθμίσεις ασφαλείας – Open Redirect / Cross Site Scripting (XSS)

Δύο νέες αναβαθμίσεις ασφαλείας για την εφαρμογή Drupal δημοσιεύθηκαν από την κοινότητα που την υποστηρίζει, με στόχο τη διόρθωση δύο ευπαθειών τύπου Open Redirect και Cross Site Scripting.

Ευπάθεια: Open Redirect

Project: Drupal core

Ημερομηνία: 20 Μαΐου 2020

Περιγραφή: Στην έκδοση 7 του Drupal παρουσιάστηκε μία ευπάθεια της μορφής Open Redirect. 
Για παράδειγμα ένας χρήστης μπορεί να ξεγελαστεί κάνοντας κλικ σε έναν ειδικά διαμορφωμένο σύνδεσμο που θα τον ανακατευθύνει σε μη επιθυμητή ιστοσελίδα.

Η ευπάθεια αυτή προκλήθηκε από ανεπαρκές validation της παραμέτρου destination της συνάρτησης drupal_goto().

Λύση:

Εγκαταστήστε την τελευταία έκδοση του Drupal.

• Εάν χρησιμοποιείτε Drupal 7.x, αναβαθμίστε στην έκδοση 7.70

Στις άλλες εκδόσεις του Drupal, δεν εντοπίστηκε αυτή η ευπάθεια.

Ευπάθεια: Cross Site Scripting

Project: Drupal core

Ημερομηνία: 20 Μαΐου 2020

Περιγραφή:  Με την διάθεση της έκδοσης 3.5.0 της jQuery αποκαλύφθηκαν δύο κενά ασφαλείας που περιέχονται σε προηγούμενες εκδόσεις, σε συναρτήσεις που επεμβαίνουν στο DOM όπως οι .html(), .append() κ.ά. 

Αυτές οι ευπάθειες μπορεί να οδηγήσουν σε παραβιάσεις σε Drupal sites, οπότε με την υπάρχουσα έκδοση ασφαλείας του Drupal διορθώνονται τα προβλήματα στις συσχετιζόμενες συναρτήσεις τις jQuery χωρίς να χρειαστεί να αλλάξει η έκδοση της jQuery που χρησιμοποείται στον πυρήνα του Drupal.

Λύση:

Εγκαταστήστε την τελευταία έκδοση του Drupal.

• Εάν χρησιμοποιείτε Drupal 8.8, αναβαθμίστε στην έκδοση 8.8.6.
• Εάν χρησιμοποιείτε Drupal 8.7, αναβαθμίστε στην έκδοση 8.7.14.
• Εάν χρησιμοποιείτε Drupal 7, αναβαθμίστε στην έκδοση 7.70.

Οι προγενέστερες εκδόσεις του Drupal 8.7 δεν υποστηρίζονται σε θέματα κενών ασφαλείας καθώς αποτελούν αρκετά παρωχημένες εκδόσεις. Οι ιστοσελίδες με έκδοση 8.6 ή παλιότερη, θα πρέπει να αναβαθμιστούν στην έκδοση 8.7.14.