Мир: В Drupal исправлено десять уязвимостей

0

Разработчики системы управления контентом Drupal выпустили обновления, устраняющие 10 уязвимостей в Drupal 6, 7 и 8. Эксплуатация ошибок позволяла злоумышленникам получить доступ к закрытым данным или выполнить произвольный код. Также разработчики заявили о прекращении поддержки устаревшей версии Drupal 6, выпущенной еще в 2008 г.


Шесть уязвимостей получили средний рейтинг опасности, еще три оказались незначительными. Ошибки присутствовали в Drupal 6, 7 и 8. Одна из наиболее опасных уязвимостей позволяет обойти ограничения безопасности при загрузке файлов. Злоумышленник может предотвратить загрузку или выгрузку файлов на сайте под управлением Drupal, а также вызвать отказ в обслуживании. Уязвимость может быть проэксплуатирована лишь в определенных формах загрузки файлов.

Для эксплуатации большинства уязвимостей жертвы должны использовать устаревшие версии определенных модулей для Drupal. Например, выполнение произвольного кода возможно лишь, если на системе установлена устаревшая версия PHP. Установка последних обновлений значительно снижает угрозу взлома. Обновления содержат лишь исправления уязвимостей и не добавляют в CMS какие-либо новые функции. Разработчики рекомендуют установить патч как можно скорее. (Drupal/NovostIT)