دروبال بقع 10 عيوب أمنية، القضايا الحرجة

أصدرت دروبال تحديثها التصحيح فبراير مع إصلاحات ل 10 نقاط الضعف، بما في ذلك عدة التي تسمح للمهاجمين لتنفيذ التعليمات البرمجية عن بعد والوصول إلى عناصر الموقع التي ينبغي أن تكون محظورة.

وقال دروبال يوم الاربعاء ان آخر تحديث يحتوي على 10 إصلاحات، واحدة منها تعتبر حاسمة، في حين تعتبر ستة مشاكل “متوسطة” حرجة في الأمن الاستشاري سا-كور-2016-001.

المشكلة الأكثر أهمية الثابتة في هذا التحديث هو عيب الذي يسمح حقن رمز عندما يكون المقصود من المستخدم أن يقيد الوصول. وهذا يمكن أن يسمح للمهاجم، على سبيل المثال، لاستخدام جافا سكريبت لعناصر زر النموذج لاستغلال الضعف الالتفافية الوصول من أجل حقن التعليمات البرمجية في نظام كمس.

وقد تم التخفيف من الضعف كما هو الحال مع التحديث الأخير، يجب أن المهاجمين الآن “الحصول على تقديم النموذج الذي لديه مثل هذه الأزرار المحددة لذلك”.

بالإضافة إلى ذلك، قام مطوري دروبال بإصلاح الثغرة الأمنية داخل وحدة الملفات التي سمحت للمهاجمين بعرض أو حذف أو تبديل روابط الملفات التي قام الضحية بتحميلها إلى نموذج ما دامت عملية إرسال النموذج لم تتم معالجتها بعد. ومع ذلك، يحتاج المهاجم إلى إذن لإنشاء محتوى أو تعليق وتحميل الملفات من خلال نظام إدارة المحتوى.

يقول دروبال: “إذا نفذ أحد المهاجمين هذا الهجوم بشكل مستمر، فقد يتم حظر جميع عمليات تحميل الملفات إلى الموقع عن طريق حذف جميع الملفات المؤقتة قبل حفظها”.

وقد ثبت دروبال أيضا عيب في نظام شمل-ريك الذي يسمح الهجمات تضخيم القوة الغاشمة – مثل اكتشاف كلمة السر من خلال تقديم خيارات متعددة في وقت واحد – ومشكلة إعادة توجيه مفتوحة الذي يسمح المسار الحالي إلى تغيير إلى عنوان ورل خارجي.

وتشمل القضايا الأخرى التي تم حلها أيضا استخدام رأس هتب الحقن باستخدام فواصل خط، ضعف إعادة توجيه مفتوحة من خلال معلمة “الوجهة” ترميز مزدوج، عيب الأمن التي يمكن أن تسمح للمهاجمين خداع الضحايا في تحميل الملفات مع رمز تعسفي، و علة غريبة الذي يحدث عندما يتم حفظ حساب المستخدم – واحد الذي، في بعض الأحيان، يمنح هذا المستخدم امتيازات كاملة.

تكلفة هجمات رانسومواري: 1000000000 $ هذا العام؛ كروم لبدء وضع العلامات على اتصالات هتب غير آمنة؛ مشروع هايبرلدجر ينمو مثل غانغبوستيرس؛ الآن يمكنك شراء عصا أوسب الذي يدمر أي شيء في طريقها

وبالإضافة إلى ذلك، قام فريق دروبال أيضا بتصحيح مشكلتين أقل حدة. واحد يتيح للمستخدمين تسجيل الدخول من خلال عنوان البريد الإلكتروني بدلا من اسم المستخدم الخاص بهم، وبالتالي يترتب على ذلك يربط اسم المستخدم إلى حساب البريد الإلكتروني، مما يؤدي إلى الإفصاح عن المعلومات. المسألة الثانية، وجدت على الإصدارات القديمة من فب، ونزيرياليزس البيانات التي ينشئها المستخدم في جلسة دروبال.

في حين أن هذا الضعف خطير لأنه يمكن أن يؤدي إلى تنفيذ التعليمات البرمجية عن بعد، ويقول دروبال “مجموعة غير عادية من الظروف” مطلوبة لاستغلال هذه القضية، وأيضا تخفيف من قبل مستخدمي فب 5.4.45، 5.5.29، 5.6.13 و أعلى.

تم طلب معرفات كفي ولكن لم يتم تعيينها في وقت كتابة هذا التقرير.

تؤثر العيوب الأمنية على الإصدارات الأساسية 6.x دروبال قبل 6.38، دروبال الأساسية 7.x الإصدارات قبل 7.43 و دروبال الأساسية 8.0.x الإصدارات قبل 8.0.4.

كيفية زيادة الربح التعدين بيتكوين الخاص بك بنسبة 30 في المئة مع أقل جهد؛ سمز الروبوت البرمجيات الخبيثة جذور وخطف جهازك – ما لم تكن الروسية؛ خيرات الشوائب: ما هي الشركات تقدم الباحثين النقدية؟ شودان: إن يوت محرك البحث رسول الخصوصية؛ ماذا يحدث عندما يمكنك تسرب البيانات المصرفية المسروقة إلى الظلام ويب؟

الأمن؛ مكتب التحقيقات الفدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق المسؤولين الحكوميين في الولايات المتحدة؛ الأمن؛ وورد يحث المستخدمين على تحديث الآن لإصلاح الثغرات الأمنية الحرجة؛ الأمن؛ البيت الأبيض يعين أول رئيس مجلس أمن أمن المعلومات الاتحادية؛ الأمن؛ انتقد البنتاغون لسيبر استجابة الطوارئ من قبل الوكالة الحكومية الدولية

لذلك، من أجل حماية نفسك من هذه المشاكل الأمنية، يجب دروبال المستخدمين v.6x الترقية إلى دروبال الأساسية 6.38، يجب أن مستخدمي 7.x الترقية إلى دروبال الأساسية 7.43، وإذا كنت تستخدم دروبال 8.0.x، تحتاج إلى تحميل و تثبيت دروبال الأساسية 8.0.4.

من المهم أن نلاحظ أن مستخدمي دروبال الإصدار 6 لن تتلقى أي تحديثات أمنية أخرى، حيث وصلت البنية الآن إلى نهاية حياتها.

قراءة على: يختار الأعلى

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

ووردبحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

البيت الأبيض يعين أول رئيس أمن المعلومات الاتحادية

انتقد البنتاغون للاستجابة السيبرانية في حالات الطوارئ من قبل الوكالة الحكومية الدولية

Refluso Acido