Разработчики Drupal исправили уязвимость в механизме обновления системы

Разработчики Drupal исправили уязвимость в механизме обновления системы

Исправления для популярной CMS будут загружаться по HTTPS.

Разработчики популярной системы управления контентом (content management system, CMS) Drupal заявили о переходе на более защищенные каналы связи для распространения обновлений. Заявление последовало после обнаружения ИБ-экспертом Фернандо Арнабольди (Fernando Arnaboldi) ошибки в механизме установки обновлений в Drupal версий 7 и 8.

Как объяснил Арнабольди в блоге компании IOActive, в случае неудачной попытки установки обновления Drupal не предупреждает администраторов ресурсов об ошибке. Более того, в панели управления сайтом отображается последняя версия CMS. Данная ошибка позволяет злоумышленнику, способному осуществить атаку «человек посередине», предотвратить установку исправлений безопасности на сайт или внедрить на ресурс сторонний код. Из-за использования устаревшей версии CMS сайт остается подверженным уязвимостям, исправленным в более новых версиях Drupal.

В ответ на сообщение об ошибке разработчики Drupal изменили процедуру распространения обновлений. Теперь исправления будут загружаться по HTTPS, а анонимные загрузки через git получат поддержку SSL. В скором времени ожидается выход обновления для ядра Drupal.

Разработчики подчеркнули сложность эксплуатации уязвимости, обнаруженной Арнабольди. Для успешного вмешательства в процесс обновления Drupal злоумышленнику необходимо предварительно осуществить атаку «человек посередине».

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!