Новые версии Drupal - 7.60 и 8.6.2, устранение найденных уязвимостей SA-CORE-2018-006
Со временем в любой системе могут быть найдены уязвимости, о которых раньше ничего не было известно. Как показывает практика, даже самая защищенная система содержит скрытые угрозы безопасности – вопрос только в сложности их нахождения.
Система Drupal не стала исключением, в ней были обнаружены очередные уязвимости. Для их устранения уже доступны новые версии Drupal - 7.60 и 8.6.2. Они исправляют множественные угрозы безопасности, разработчики системы рекомендуют как можно быстрее установить данные обновления.
Что нового в этих версиях Drupal? Согласно информация на официальном сайте, в этих версиях были исправлены только угрозы безопасности. Соответственно никаких новшеств добавлено не было.
Какие новые уязвимости найдены в Drupal? Ниже приводится список угроз в версиях Drupal до 7.60 и 8.6.2:
- Content moderation - Moderately critical - Access bypass - Drupal 8
Умеренно критическая угроза в Drupal 8, которая позволяет пользователю при работе с контентом получить неправомерный доступ; - External URL injection through URL aliases - Moderately Critical - Open Redirect - Drupal 7 and Drupal 8
Умеренно критическая угроза в Drupal 7 и Drupal 8, которая позволяет внедрять внешние URL-адреса через псевдонимы URL-адресов, в результате чего на сайт могут быть добавлены ссылки на вредоносные сайты; - Anonymous Open Redirect - Moderately Critical - Open Redirect - Drupal 8
Умеренно критическая угроза в Drupal 8, которая заключается в следующем: в CMS Drupal, при работе со страницей и переходе на другую, может указываться путь возврата в параметрах адреса. Этот путь может быть подменен на вредоносный адрес, в результате чего будет выполнен переход на сайт, который может быть внешне похож на исходный. Из-за этого могут быть украдены пароли и другая информация, так как обычно на таком сайте будут показаны формы для якобы повторной авторизации; - Injection in DefaultMailSystem::mail() - Critical - Remote Code Execution - Drupal 7 and Drupal 8
Критическая угроза в Drupal 7 и Drupal 8, которая состоит в том, что при отправке электронной почты некоторые данные не подвергаются проверке, что может привести к удаленному выполнению кода; - Contextual Links validation - Critical - Remote Code Execution - Drupal 8
Критическая угроза в Drupal 8, которая заключается в том, что модуль контекстных ссылок недостаточно проверяет запрошенные контекстные ссылки, из-за чего возможно удаленное выполнение кода.
Как видно, найденные новые уязвимости Drupal достаточно серьезные, поэтому рекомендуется установить предлагаемые обновления в кратчайшие сроки.
Последние статьи
- 09.07.22ИТ / Разное Конвертация офисных файлов DOC, DOCX, DOCM, RTF в форматы DOCX, DOCM, DOC, RTF, PDF, HTML, XML, TXT без потерь и изменения разметки
- 07.07.22ИТ / Безопасность Как защитить исходный код PHP, JS, HTML, CSS - обфускация, минимизация, сжатие и шифрование
- 06.07.22ИТ / Безопасность Подключение не защищено, проблема с Lets Encrypt - как исправить истекший 30.09.2021 DST Root CA X3, удалить его вручную и установить ISRG Root X1. Пример на MS Windows 7
- 08.07.21ИТ / Разное Как бесплатно сделать перевод для сайта без API, перевод документов в Google Translate
- 06.07.21ИТ / Разное Как сделать кнопку подписки на сайте, базу подписчиков и автоматическую рассылку