Lỗ hổng nghiêm trọng trong Drupal, update website của bạn ASAP

Lỗ hổng nghiêm trọng mới trong Drupal, update website của bạn ASAP

February 22, 2019 | vietsunshine

Các nhà phát triển của Drupal, một phần mềm hệ thống quản lý nội dung nguồn mở phổ biến, được sử dụng cho hàng triệu trang website, đã phát hành phiên bản mới nhất của phần mềm của họ để vá lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công từ xa hack trang web của bạn.

Bản cập nhật được đưa ra hai ngày sau khi nhóm bảo mật Drupal đưa ra thông báo bảo mật về các bản vá sắp tới, giúp các quản trị viên trang web sớm phải sửa chữa trang web của họ trước khi tin tặc lạm dụng lỗ hổng.

Lỗ hổng thực thi mã từ xa (remote code execution- RCE) nghiêm trọng trong Drupal Core có thể “dẫn đến việc thực thi mã PHP tùy ý trong một số trường hợp”, nhóm bảo mật Drupal nói.

Mặc dù nhóm Drupal chưa công bố bất kỳ chi tiết kỹ thuật nào về lỗ hổng (CVE-2019-6340), nó đã đề cập rằng lỗ hổng này tồn tại do một số loại trường không xử lý đúng cách dữ liệu từ các nguồn non-form và ảnh hưởng đến Drupal Core 7 và 8.

Cũng cần lưu ý rằng trang web dựa trên Drupal của bạn chỉ bị ảnh hưởng nếu mô-đun RESTful Web Services được bật và cho phép các yêu cầu PATCH hoặc POST hoặc nó có bật mô-đun dịch vụ web khác.

Nếu bạn không thể cài đặt bản cập nhật mới nhất ngay lập tức, thì bạn có thể giảm thiểu lỗ hổng bằng cách vô hiệu hóa tất cả các mô-đun dịch vụ web hoặc định cấu hình (các) máy chủ web của bạn để không cho phép các yêu cầu PUT/PATCH/POST đối với tài nguyên dịch vụ web.

“Lưu ý rằng tài nguyên dịch vụ web có thể có sẵn trên nhiều đường dẫn tùy thuộc vào cấu hình của máy chủ của bạn”, Drupal cảnh báo trong tư vấn bảo mật được công bố hôm thứ Tư. “Đối với Drupal 7, ví dụ, các tài nguyên thường có sẵn thông qua các đường dẫn và thông qua các đối số cho đối số truy vấn” q “. Đối với Drupal 8, các đường dẫn vẫn có thể hoạt động khi được thêm tiền tố với index.php/.”

Tuy nhiên, xem xét mức độ phổ biến của việc khai thác Drupal giữa các tin tặc, bạn nên cài đặt bản cập nhật mới nhất:

  • Nếu bạn đang sử dụng Drupal 8.6.x, hãy nâng cấp trang web của bạn lên Drupal 8.6.10.
  • Nếu bạn đang sử dụng Drupal 8.5.x trở về trước, hãy nâng cấp trang web của bạn lên Drupal 8.5.11

Drupal cũng nói rằng bản thân mô-đun Drupal 7 Services không yêu cầu cập nhật, nhưng người dùng vẫn nên xem xét áp dụng các cập nhật đóng góp khác liên quan đến lời khuyên mới nhất nếu “Services” được sử dụng.

Drupal đã thưởng cho Samuel Mortenson của nhóm bảo mật của mình với việc khám phá và báo cáo lỗ hổng.

(Nguồn: Thehackernews)

Xem thêm:

Những điều bạn cần biết về lỗ hổng nghiêm trọng của Drupal

Hacker khai thác lỗ hổng Drupal để ‘đào’ tiền ảo Monero

Tags: ,