Drupal Web Adminlerini Uyardı

Drupal kritik güvenlik açığı için CMS site yöneticilerine güncelleme yapması için bildirimde bulundu. Drupal tabanlı blogunuzu veya web sitenizi yakın zamanda en son sürümlerle güncellemediyseniz şimdi tam zamanı. Drupal geliştirme ekibi dün çekirdek sisteminde kritik ve üç orta derecede güvenlik açığına yönelik yaygın olarak kullanılan açık kaynaklı içerik yönetimi yazılımı için önemli güvenlik güncellemeleri yayınlandı.

Drupal destekli web sitelerinin bilgisayar korsanları için tüm zamanların en sevdiği hedefler arasında olduğu göz önüne alındığında, web sitesi yöneticilerinin bilgisayar korsanlarına web sunucularını tehlikeye atmasını önlemek için en son sürüm Drupal 7.69, 8.7.11 veya 8.8.1’i yüklemeleri önerilir.

‘Archive_Tar’ adlı dosyalar içeren tar uzantılı bir arşiv Drupal Core’un tar arşivlerine dosya oluşturur, listeleme, ayıklama ve ekleme yapar. Kritik öneme sahip yama bu üçüncü parti kütüphaneye yapıldı.

Saldırı kötü amaçlı hazırlanmış bir tar dosyasını yükleyerek hedeflenen bir sunucudaki hassas dosyaların üzerine yazmasına olanak tanıyan sembolik bağlantılarla arşivleme biçiminde ortaya çıkıyor. Bu nedenle bilinmeyen kullanıcılar tarafından yüklenen güvenilmeyen  .tar, .tar.gz, .bz2 veya .tlz dosyalarını işlemek üzere yapılandırılmış Drupal web sitelerini etkiliyor.

Drupal geliştiricilerine göre bu güvenlik açığının zafiyet kodu halihazırda mevcut ve bilgisayar korsanları arasındaki Drupal istismarlarının popülaritesini göz önünde bulundurularak Drupal web sitelerini hedef almak için bu açık aktif olarak kullanılabilir.

Bu kritik güvenlik açığının yanı sıra, Drupal geliştiricileri, Core yazılımında, kısa ayrıntıları aşağıda açıklanan üç “orta derecede kritik” güvenlik açığını da ekledi:

  • Hizmet Dışı Bırakma(DoS): Drupal 8 Core tarafından kullanılan install.php dosyası, önbelleğe alınmış verilerini bozarak hedeflenen bir web sitesinin kullanılabilirliğini bozmak için uzak, kimliği doğrulanmamış bir saldırgan tarafından yararlanılabilecek bir açık içeriyor.
  • Güvenliği Bypass: Drupal 8’deki dosya yükleme işlevi güvenlik korumalarını atlamak için .htaccess gibi rastgele sistem dosyalarının üzerine yazmak için dosya yükleme özelliğine sahip bir saldırgan tarafından kullanılabilen dosya adlarındaki baştaki ve sondaki noktadan (‘.’) sıyrılır.
  • Yetkisiz Erişim: Bu güvenlik açığı, Drupal’ın varsayılan Medya Kitaplığı modülünde, belirli yapılandırmalardaki medya öğelerine erişimi doğru şekilde kısıtlamadığında ortaya çıkar. Bu nedenle düşük ayrıcalıklı bir kullanıcının erişemeyeceği hassas bilgilere yetkisiz erişim kazanmasına izin verebilir.

Geliştiricilere göre saldırıdan etkilenen web sitesi yöneticileri, / admin / config / media / media-library’deki “Advanced UI etkinleştir” onay kutusunun işaretini kaldırarak erişim ortamını atlayarak güvenlik açığının etkisini bir miktar azaltabilir ancak bu azaltma 8.7.x’de mevcut değildir.

Yukarıdaki “orta derecede kritik” güvenlik açıklarının tümü, Drupal 8.7.11 ve 8.8.1 versiyonlarının piyasaya sürülmesiyle düzeltildi.

Bir cevap yazın

Tüm hakları saklıdır © 2018 Design: Emre Önal
WhatsApp chat