Вход Регистрация
ruen

Новые версии Drupal - 7.60 и 8.6.2, устранение найденных уязвимостей SA-CORE-2018-006

Со временем в любой системе могут быть найдены уязвимости, о которых раньше ничего не было известно. Как показывает практика, даже самая защищенная система содержит скрытые угрозы безопасности – вопрос только в сложности их нахождения.

drupal-new-versions-7.60-8.6.2

Система Drupal не стала исключением, в ней были обнаружены очередные уязвимости. Для их устранения уже доступны новые версии Drupal - 7.60 и 8.6.2. Они исправляют множественные угрозы безопасности, разработчики системы рекомендуют как можно быстрее установить данные обновления.

Что нового в этих версиях Drupal? Согласно информация на официальном сайте, в этих версиях были исправлены только угрозы безопасности. Соответственно никаких новшеств добавлено не было.

Какие новые уязвимости найдены в Drupal? Ниже приводится список угроз в версиях Drupal до 7.60 и 8.6.2:

  • Content moderation - Moderately critical - Access bypass - Drupal 8
    Умеренно критическая угроза в Drupal 8, которая позволяет пользователю при работе с контентом получить неправомерный доступ;

  • External URL injection through URL aliases - Moderately Critical - Open Redirect - Drupal 7 and Drupal 8
    Умеренно критическая угроза в Drupal 7 и Drupal 8, которая позволяет внедрять внешние URL-адреса через псевдонимы URL-адресов, в результате чего на сайт могут быть добавлены ссылки на вредоносные сайты;

  • Anonymous Open Redirect - Moderately Critical - Open Redirect - Drupal 8
    Умеренно критическая угроза в Drupal 8, которая заключается в следующем: в CMS Drupal, при работе со страницей и переходе на другую, может указываться путь возврата в параметрах адреса. Этот путь может быть подменен на вредоносный адрес, в результате чего будет выполнен переход на сайт, который может быть внешне похож на исходный. Из-за этого могут быть украдены пароли и другая информация, так как обычно на таком сайте будут показаны формы для якобы повторной авторизации;

  • Injection in DefaultMailSystem::mail() - Critical - Remote Code Execution - Drupal 7 and Drupal 8
    Критическая угроза в Drupal 7 и Drupal 8, которая состоит в том, что при отправке электронной почты некоторые данные не подвергаются проверке, что может привести к удаленному выполнению кода;

  • Contextual Links validation - Critical - Remote Code Execution - Drupal 8
    Критическая угроза в Drupal 8, которая заключается в том, что модуль контекстных ссылок недостаточно проверяет запрошенные контекстные ссылки, из-за чего возможно удаленное выполнение кода.

Как видно, найденные новые уязвимости Drupal достаточно серьезные, поэтому рекомендуется установить предлагаемые обновления в кратчайшие сроки.

Комментарии (0)
Для комментирования войдите или зарегистрируйтесь.

Последние статьи

Популярные разделы

Eqsash (Инструменты)

Приложение для Android - VK LAST USER ID, отучитель от зависимости и т.д.:
Доступно в Google Play

Amessage (Общение)

Вход в веб-версию
Приложение для Android:
Доступно в Google Play

Поделиться

Подписаться

YouTube

Книги

IT-заметки - Простым языком о самом нужном (HTML, CSS, JavaScript, PHP, базы данных, Drupal, Битрикс, SEO, домены, безопасность и другое), PDF, 500 стр.