Все Drupal уязвимы к исполнению кода, краже учетных данных
Новости Безопасность
В системе управления контентом Drupal присутствует ряд уязвимостей, позволяющих выполнить код и украсть идентификаторы к базе данных посредством атаки “человек посередине”, сообщает “Лаборатория Касперского”.
По словам Фернандо Арнабольди (Fernando Arnaboldi), старшего ИБ-эксперта IOActive, эти бреши связаны с обработкой обновлений Drupal. В своем посте исследователь рассматривает три таких бага; один из них существовал в том или ином виде годами, два другие были преданы гласности на этой неделе.
Причиной первой, самой давней уязвимости является отсутствие шифрования обновлений CMS в процессе передачи, а также проверки их аутентичности при получении. Чтобы воспользоваться этой брешью, злоумышленник должен находиться в той же сети и провести MitM-атаку.
Процесс обновления Drupal предполагает загрузку нешифрованого XML-файла, однако, согласно Арнольди, он может содержать версию CMS с бэкдором или версию из недоверенного источника. Так, в ходе PoC-атаки эксперт без проблем загрузил апдейт с нарочитым именем “7.41 Backdoored”. Если процесс обновления запущен и модуль удалось активировать, атакующий теоретически сможет получить пароль к базе данных Drupal и выполнить код.
Поскольку патча пока нет, Арнольди настоятельно рекомендует загружать обновления для Drupal и аддонов вручную.
Один из обнаруженных IOActive багов не является уязвимостью, это упущение, создающее у пользователя ложное чувство безопасности. Дело в том, что две новейшие версии CMS, в том числе ноябрьская, не предупреждают пользователя о сетевых проблемах, возникающих в процессе установки обновлений, они лишь подтверждают, что апдейт произведен успешно.
Наличие новых обновлений для Drupal можно проверить вручную, пройдя по ссылке Check Manually, однако здесь тоже обнаружилась проблема. По свидетельству Арнольди, эту же статическую привязку можно использовать для подделки межсайтовых запросов или эксплойта уязвимости в Drupal версий ниже восьмой, открывающей возможность для подмены запросов на стороне сервера.
“Администраторы могут неумышленно заставить сервер запрашивать неограниченный объем информации с updates.drupal.org, что создаст перегрузку в сети”, – пишет исследователь.
Данных о сроках выпуска патчей у Арнабольди нет, его также удивило, что давно известные уязвимости до сих пор не закрыты. “Я думал, что некоторые из них будут пропатчены до выхода Drupal 8, но этого не случилось”, – сетует эксперт.
28.04.2025 16:46
Для дропперов введут уголовную ответственность
Правительство РФ подготовило поправки в ст. 187 Уголовного кодекса («Неправомерный оборот средств платежей»), которыми будет введена уголовная ответственность для так называемых дропперов
|
07.04.2019 19:42
Как увидеть скрытых друзей во «ВКонтакте»
Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть
29.11.2017 23:52
Как защитить файл или папку паролем в Windows
Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится
|
|
