Drupal Core - αναβαθμίσεις ασφαλείας – Open Redirect / Cross Site Scripting (XSS)
https://blog.ip.gr/2020/05/drupal-core-open-redirect-cross-site.html
Δύο νέες αναβαθμίσεις
ασφαλείας για την εφαρμογή Drupal δημοσιεύθηκαν
από την
κοινότητα που την υποστηρίζει,
με στόχο τη διόρθωση δύο
ευπαθειών τύπου Open Redirect και Cross
Site Scripting.
Ευπάθεια: Open Redirect
Project: Drupal core
Ημερομηνία: 20
Μαΐου 2020
Περιγραφή: Στην
έκδοση 7 του Drupal παρουσιάστηκε
μία ευπάθεια της μορφής Open Redirect.
Για παράδειγμα ένας χρήστης μπορεί να ξεγελαστεί κάνοντας κλικ σε έναν ειδικά διαμορφωμένο σύνδεσμο που θα τον ανακατευθύνει σε μη επιθυμητή ιστοσελίδα.
Για παράδειγμα ένας χρήστης μπορεί να ξεγελαστεί κάνοντας κλικ σε έναν ειδικά διαμορφωμένο σύνδεσμο που θα τον ανακατευθύνει σε μη επιθυμητή ιστοσελίδα.
Η ευπάθεια
αυτή προκλήθηκε από ανεπαρκές validation της παραμέτρου destination της συνάρτησης drupal_goto().
Λύση:
Εγκαταστήστε την
τελευταία έκδοση του Drupal.
- Εάν χρησιμοποιείτε Drupal 7.x, αναβαθμίστε στην έκδοση 7.70
Στις άλλες εκδόσεις
του Drupal, δεν
εντοπίστηκε αυτή η ευπάθεια.
Ευπάθεια: Cross Site Scripting
Project:
Drupal core
Ημερομηνία: 20
Μαΐου 2020
Περιγραφή: Με την διάθεση της έκδοσης 3.5.0 της jQuery αποκαλύφθηκαν δύο κενά ασφαλείας που περιέχονται σε προηγούμενες εκδόσεις, σε συναρτήσεις που επεμβαίνουν στο DOM όπως οι .html(), .append() κ.ά.
Αυτές οι ευπάθειες μπορεί να οδηγήσουν σε παραβιάσεις σε Drupal sites, οπότε με την υπάρχουσα έκδοση ασφαλείας του Drupal διορθώνονται τα προβλήματα στις συσχετιζόμενες συναρτήσεις τις jQuery χωρίς να χρειαστεί να αλλάξει η έκδοση της jQuery που χρησιμοποείται στον πυρήνα του Drupal.
Αυτές οι ευπάθειες μπορεί να οδηγήσουν σε παραβιάσεις σε Drupal sites, οπότε με την υπάρχουσα έκδοση ασφαλείας του Drupal διορθώνονται τα προβλήματα στις συσχετιζόμενες συναρτήσεις τις jQuery χωρίς να χρειαστεί να αλλάξει η έκδοση της jQuery που χρησιμοποείται στον πυρήνα του Drupal.
Λύση:
Εγκαταστήστε την
τελευταία έκδοση του Drupal.
- Εάν χρησιμοποιείτε Drupal 8.8, αναβαθμίστε στην έκδοση 8.8.6.
- Εάν χρησιμοποιείτε Drupal 8.7, αναβαθμίστε στην έκδοση 8.7.14.
- Εάν χρησιμοποιείτε Drupal 7, αναβαθμίστε στην έκδοση 7.70.
Οι
προγενέστερες εκδόσεις του Drupal
8.7 δεν υποστηρίζονται
σε θέματα κενών ασφαλείας καθώς
αποτελούν αρκετά παρωχημένες εκδόσεις.
Οι ιστοσελίδες με έκδοση 8.6
ή παλιότερη, θα πρέπει να
αναβαθμιστούν στην έκδοση 8.7.14.
Follow Us