Sunday, September 27, 2020

Η ανακοίνωση του Drupal για σοβαρό κενό ασφαλείας

Good News

Transfer & Win: Μεταφέρετε τη φιλοξενία από άλλο πάροχο, στη MultiHosting, κερδίστε έως 12 μήνες δώρο

Είστε δυσαρεστημένοι από τον πάροχο φιλοξενίας της ιστοσελίδας σας; Η Υποστήριξη που σας παρέχουν δεν είναι αυτή που σας υποσχέθηκαν; Βρεθήκατε μπροστά σε ψιλά γράμματα και...

Αναβάθμισε από Free Hosting σε SSD Δelta Hosting και Κέρδισε 50% Έκπτωση!

Έχεις επιλέξει Δωρεάν Hosting για το domain σου στη MultiHosting; Ε τότε μήπως ήρθε η στιγμή να αναπτύξεις τη σελίδα σου και...

Νέο Φοιτητικό Πακέτο Hosting!

Είσαι Φοιτητής; Η MultiHosting πρόσθεσε ένα Νέο Super Πακέτο Hosting αποκλειστικά για φοιτητές. Στείλε μας την φοιτητική σου ταυτότητα και απόλαυσε μια εξαιρετική εμπειρία Hosting...

Black Friday… Ready και το 2019!

Η τελευταία Παρασκευή του Νοεμβρίου, ή αλλιώς η γνωστή πλέον σε όλους Black Friday είναι και πάλι προ των πυλών. Παραδοσιακά τα τελευταία χρόνια...
Ria T.
Ria T.https://www.multihosting.gr/blog
Υπεύθυνη διαχείρισης περιεχομένου του blog και των Social Media της Multihosting.

Η ομάδα της Drupal CMS ανακοίνωσε ότι έχει διορθωθεί ένα μεγάλο κενό ασφαλείας που υπήρχε και επέτρεπε στους “hackers” να παραβιάζουν οποιοδήποτε URL. Αυτό αυτόματα σημαίνει πως οι ιδιοκτήτες Drupal site θα πρέπει να αναβαθμίσουν τα site σε Drupal 7.58 ή Drupal 8.5.1, ανάλογα την έκδοση που χρησιμοποιεί η κάθε ιστοσελίδα.

Η ομάδα της Drupal προ-ανακοίνωσε τα πρόσφατα patches την προηγούμενη εβδομάδα και αναφέρει ότι τα κενά ασφαλείας μπορούν να τα εκμεταλλευτούν κακόβουλοι μέσα σε λίγες ώρες μετά την γνωστοποίηση του κενού ασφαλείας.

Η Drupal επηρεάστηκε από μη-αυθεντικό RCE κενό

Το αναγνωριστικό CVE-2018-7600 επιτρέπει στον “hacker” να χρησιμοποιήσει αποδοτικά οποιοδήποτε κωδικό επιθυμεί εναντίον ολόκληρου του πυρήνα του CMS παραβιάζοντας τον έλεγχο του site. Ο “hacker” δεν είναι απαραίτητο να είναι εγγεγραμμένος η πιστοποιημένος στο συγκεκριμένο site και αυτό που έχει να κάνει είναι να αποκτήσει πρόσβαση στο URL.

Drupalgeddon

Η κοινότητα της Drupal έχει ήδη δώσει το ψευδώνυμο Drupalgeddon2 σε αυτό το κενό ασφαλείας μετά και από το Drupalgeddon security Βug (CVE-2014-3704, SQL injection, severity 25/25) που έλαβε χώρα το 2014 και οδήγησε στο χακάρισμα πολυάριθμων Drupal site μέσα στο επόμενα χρόνια.
Η ομάδα της Drupal ανακοίνωσε ότι δεν έχει παρατηρηθεί κάποια κακόβουλη επίθεση που να εκμεταλλεύτηκε αυτό το κενό ασφαλείας την στιγμή που εκδόθηκε το security alert, ωστόσο όσοι ασχολούνται με το θέμα από την επίσημη ομάδα Drupal μέχρι και τους αυτόνομους ερευνητές ασφαλείας αναμένουν το κενό ασφαλείας να αρχίσει να αξιοποιείται μέσα σε μερικές ώρες ή μέρες.

EOLed Drupal 6 also affected

Πέρα από τις διορθώσεις στις δύο βασικές εκδόσεις της Drupal -7.x και 8.x- η ομάδα της Drupal ανακοίνωσε patches και για την αρχαία έκδοση 6.x η οποία έφτασε το τέλος ζωής της το 2016. Τα firewall σε επίπεδο web αναμένεται να λάβουν αναβαθμίσεις μέσα στις επόμενες μέρες για να αντεπεξέλθουν στις επιθέσεις.
Οι developer της Drupal συνιστούν την εγκατάσταση του patch εάν αυτό είναι δυνατό, εναλλακτικά λύσεις μετριασμού του προβλήματος όπως προσωρινή αντικατάσταση της Drupal σελίδας με μια στατική html σελίδα, έτσι ώστε οι ευάλωτες σελίδες της εγκατάστασης Drupal να μην είναι προσβάσιμες. Επιπρόσθετα οποιεσδήποτε ενεργές ή σε ανάπτυξη σελίδες θα πρέπει να αναβαθμιστούν ή να τεθούν offline μέχρι να εγκατασταθεί το patch.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

- Advertisement -

Νέα άρθρα

Τι είναι το WordPress; Οδηγός για αρχάριους

Εάν για κάποιο λόγο διαβάζεις αυτό το άρθρο, δεν αναρωτιέσαι μόνο τι είναι το WordPress αλλά σίγουρα σκέφτεσαι να φτιάξεις μία ιστοσελίδα και δεν...

Ο Πλήρης Οδηγός για Pinterest SEO

Το Pinterest συχνά θεωρείται ως πλατφόρμα που θα ανατρέξει κανείς για να συνταγές ή ιδέες διακόσμησης χώρων, είναι επίσης ένα πολύ ισχυρό εργαλείο ψηφιακού...

Το Facebook περιορίζει τον αριθμό των διαφημίσεων

Το Facebook θα αρχίσει να περιορίζει τον αριθμό των διαφημίσεων που μπορεί να προβάλλει μια σελίδα αρχής γενομένης από τον Φεβρουάριο του 2021 σε...

Έχετε εταιρεία Web Hosting προς πώληση;

Η MultiHosting, στα πλαίσια ενός στρατηγικού σχεδιασμού για συνεχή ανάπτυξη, έχει ένα σταθερό και ζωηρό ενδιαφέρον να εξαγοράζει εταιρείες που σχετίζονται με Web Hosting...

Transfer & Win: Μεταφέρετε τη φιλοξενία από άλλο πάροχο, στη MultiHosting, κερδίστε έως 12 μήνες δώρο

Είστε δυσαρεστημένοι από τον πάροχο φιλοξενίας της ιστοσελίδας σας; Η Υποστήριξη που σας παρέχουν δεν είναι αυτή που σας υποσχέθηκαν; Βρεθήκατε μπροστά σε ψιλά γράμματα και...