Būkite atsargūs: per mėnesį atrastas jau trečias Drupal turinio valdymo sistemos pažeidžiamumas. Patarimai ką daryti (2)
Kaip pranešama prieš dvi dienas, Drupal išleido naujas savo programinės įrangos versijas, kad pakoreguotų dar vieną kritinį nuotolinio kodo vykdymą (critical remote code execution - RCE), pažeidžiantį jo Drupal 7 ir 8 versijų branduolius.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
„Drupal" yra populiari atviro kodo turinio valdymo sistemos programinė įranga, kuri naudojama milijonuose svetainių ir deja, TVS turėjo aktyvių išpuolių, nes po to buvo atskleistas labai kritiškas nuotolinio kodo vykdymo pažeidžiamumas.
Naujas pažeidžiamumas buvo aptiktas tiriant anksčiau atskleistą RCE pažeidžiamumą, pavadintą Drupalgeddon2 (CVE-2018-7600), kuris buvo atskleistas kovo 28 d., priversdamas Drupal komandą išleisti šio produkto atnaujinimą (patch update).
Pagal naują Drupal komandos pateiktą ataskaitą, naujasis nuotolinio kodo vykdymo pažeidžiamumas (CVE-2018-7602) taip pat galėtų leisti atakuotojams visiškai perimti pažeidžiamas svetaines.
Kaip pridėti „Drupal" pažeidžiamumą „Drupalgeddon3"
Kadangi anksčiau atskleistas pažeidžiamumas, kuris sukėlė daug dėmesio ir motyvavo užpuolikus dėmesį nukreipti į svetaines, veikiančias Drupal pagrindu, bendrovė paragino visus svetainės administratorius kuo greičiau įdiegti naujus saugumo pataisymus.
- Jei naudojate 7.x versiją, atnaujinkite į Drupal 7.59.
- Jei naudojate 8.5.x versiją, atnaujinkite į Drupal 8.5.3.
- Jei naudojate 8.4.x versiją, kuri nebepalaikoma, pirmiausia turite atnaujinti savo svetainę iki 8.4.8 versijos ir tada kuo greičiau įdiekite naujausią 8.5.3 versiją.
Taip pat reikėtų atkreipti dėmesį, kad nauji pataisymai veiks tik tada, jei jūsų svetainė jau pritaikė pataisymus dėl „Drupalgeddon2" trūkumų.
„Mes neturime duomenų apie aktyvius bandymus išnaudoti šiuos naujus pažeidžiamumus", - sakė „Drupal" atstovas spaudai. „Be to, naujasis trūkumas yra sudėtingesnis, kad susitvarkytų su išnaudojimu."
Techninės detalės apie trūkumą, gali būti pavadintos „Drupalgeddon3", nebuvo paviešintos per patariamąjį pranešimą, tačiau tai nereiškia, kad galite palaukti, kol kitą rytą atnaujinsite savo svetainę, manydami, kad nebus užpulta.
Mes matėme, kaip užpuolikai sukūrė automatizuotus išnaudojimo būdus, kurie sugebėjo panaudoti Drupalgeddon2 pažeidžiamumą, kelios valandos po to, kai išsami informacija būvo paskelbta viešai, bandydami idiegti į svetaines apkrėstą kriptovaliutų kasėjų kodą, backdoors ir kitas kenkėjiškas programas.
Be šių dviejų trūkumų, komanda praėjusią savaitę patobulino vidutinio sunkumo kryžminio scenarijaus (XSS) pažeidžiamumą, dėl to nuotoliniai atakuotojai galėjo naudoti išplėstinius išpuolius, įskaitant slapuko vagystes, klavišų rinkimo informaciją, sukčiavimą ir tapatybės vagystę.
Todėl Drupal svetainių administratoriams yra labai rekomenduojama atnaujinti savo svetaines kuo greičiau.