Drupal, popularno CMS rešenje otvorenog koda, dobilo je novu verziju ovog meseca kojom će se zakrpiti ranjivost koja je dopuštala napadaču preuzimanje kontrole nad pogođenom stranicom.
Ranjivost, pod oznakom CVE-2018-14773, deo je Symfony HttpFoundation component funkcionalnosti, koja se koristi u jezgru Drupal-a te pogađa sve verzije 8. generacije pre verzije 8.5.6.
Symfony se koristi na mnogo različitih načina te bi ova ranjivost mogla prouzrokovati značajne poteškoće za veliki broj aplikacija.
Kompanija Symfony, prema nedavnoj izjavi, smatra kako je ranjivost vezana uz njihovu podršku za starija te http zaglavlja.
Udaljeni napad može biti izvršen koristeći posebnu X-Original-URL ili X-Rewrite-URL vrednost u zaglavlju koja menja putanju u zatraženoj URL adresi kako bi zaobišla zaštitu te prouzrokovala promenu adrese u ciljanom sistemu.
Ranjivost je otklonjena u Symfony verzijama 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, i 4.1.3, a Drupal je izdao nadogradnju u verziji 8.5.6.
Uz Symfony, stručnjaci iz Drupala su sličnu ranjivost otkrili u funkcionalnostima Zend Feed i Diactoros te su je nazvali URL Rewrite ranjivost.
Međutim, iz Drupala uveravaju kako jezgro Drupala ne koristi ranjivu funkcionalnost, ali korisnicima koje sporne funkcionalnosti ipak koriste savetuju nadogradnju.
Drupal koriste milioni stranica, ali u poslednje vreme se sve češće spominje u kontekstu (ne)bezbednosti. Naime, nedavno je bio meta napada nakon što su objavljene informacije o kritičnoj ranjivosti Drupalgeddon2.
Zbog ranjivosti Symfony, neophodna nadogradnja Drupal-a
05:11
nema komentara
Postavi komentar
Vaš komentar: