Мир: Разработчики Drupal исправили уязвимость в механизме обновления системы

2

Разработчики популярной системы управления контентом (content management system, CMS) Drupal заявили о переходе на более защищенные каналы связи для распространения обновлений. Заявление последовало после обнаружения ИБ-экспертом Фернандо Арнабольди (Fernando Arnaboldi) ошибки в механизме установки обновлений в Drupal версий 7 и 8.


Как объяснил Арнабольди в блоге компании IOActive, в случае неудачной попытки установки обновления Drupal не предупреждает администраторов ресурсов об ошибке. Более того, в панели управления сайтом отображается последняя версия CMS. Данная ошибка позволяет злоумышленнику, способному осуществить атаку “человек посередине”, предотвратить установку исправлений безопасности на сайт или внедрить на ресурс сторонний код. Из-за использования устаревшей версии CMS сайт остается подверженным уязвимостям, исправленным в более новых версиях Drupal.

В ответ на сообщение об ошибке разработчики Drupal изменили процедуру распространения обновлений. Теперь исправления будут загружаться по HTTPS, а анонимные загрузки через git получат поддержку SSL. В скором времени ожидается выход обновления для ядра Drupal. Разработчики подчеркнули сложность эксплуатации уязвимости, обнаруженной Арнабольди. Для успешного вмешательства в процесс обновления Drupal злоумышленнику необходимо предварительно осуществить атаку “человек посередине”. (Drupal/NovostIT)