Разработчики Drupal выпустили исправления для устранения критической уязвимости

Разработчики Drupal выпустили исправления для устранения критической уязвимости

Эксперты немецкой компании SektionEins месяц назад проинформировали создателей Drupal об обнаруженной уязвимости.

image

Создатели платформы с открытым кодом Drupal, предназначенной для управления web-сайтами, устранили критическую уязвимость в своем программном продукте, сообщает издание CNews. Брешь позволяет неавторизованному пользователю с помощью специального запроса выполнить произвольные SQL-команды в базе данных web-ресурса на платформе Drupal. Эксплуатация бреши позволяет злоумышленникам раскрыть пароль администратора.

Для устранения уязвимости, содержащейся в версиях Drupal с 7.0 по 7.31, разработчики Drupal рекомендуют пользователям обновить систему управления контентом до версии 7.32.

Уязвимость опасна тем, что не оставляет следов в системе – выполненные с ее применением атаки не отражаются в логах. Кроме того, отключение сайта штатными средствами (переключение в режим технического обслуживания) не позволяет ограничить использование бреши, способной предоставлять удаленному пользователю прямой доступ к базе данных, что дополнительно повышает риск утечки информации.

В августе этого года ИБ-эксперт Нир Голдшлагер Nir (Goldshlager) обнаружил в платформе Drupal уязвимость, позволявшую выполнять DoS-атаки на серверы, на которых размещены сайты, работающие на Drupal или Wordpress. Эта уязвимость также была устранена компанией-разработчиком. 

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle