Otkrivena velika sigurnosna rupa u Drupal CMS

Otkrivena velika sigurnosna rupa u Drupal CMS

Projekt Drupal poziva website administratore da instaliraju što prije nadopune kako bi se osigurali da pronađena ranjivost ne načini štetu u narednom peroidu. Jer, otkriven je visokorizičan bug koji utječe na Drupal core CMS i zato se ništa nije prepuštalo slučaju već se odmah zajednici poručilo da reagira što je prije moguće. Verzije koje su pogođene redom su Drupal 8.6.x, Drupal 8.5.x i ranije.

Možda nije šire poznato, ali Drupal je treći najpopularniji CMS za web stranice i čini oko tri posto udjela na tržištu. Na njemu je više od milijardu web stranica, što znači da se radi o više od 30 milijuna web stranica i već po tome je dovoljno jasno koliko su ova upozorenja bitna i koliko je bitno što prije riješiti svaki mogući problem.

Jer, ukoliko hakeri iskoriste ranjivost nazvanu CVE-2019-6340, mogu pridobiti kontrolu nad web serverom, a sve zbog činjenice da neki tipovi datoteka ne reagiraju dobro s izvorima bez forme, kao što su RESTful web usluge. Taj izostanak reakcije dovodi do PHP egzekucije koda koji potiče ranjivost. Ona se, inače, može ukloniti i prije preuzimanja nadopune zabranom PUT/PATCH/POST zahtjeva prema resursima web usluga. Također, problem se može riješiti i nadogradnjom na novije verzije, a to podrazumijeva Drupal 8.6.10 i Drupal 8.5.11.

Situacija nije riješana ni nakon nadopune same Drupal 8 jezgre jer administratori moraju instalirati i sigurnosne nadopune za nekoliko Drupalovih projekata "treće strane". To uključuje Font Awesome Icons, Translation Management Tool, Paragraphs, Video, Metatag, Link, JSON:API i RESTful Web Services.

I, ako su administratori uočili da se spominje Drupal 8 jezgra, tad moraju znati da ukoliko imaju Drupal 7 jezgru onda ne moraju preuzimati nadopune. Barem taj detalj olakšava administratorima život.

A oni kojima nije olaškan jer su napadnuti, možda bude malo lakše sa spoznajom da su hakeri iskoristili ranjivost samo kako bi postavili alate za rudarenje kriptovaluta, što se lako ukloni i ne čini nikakvu direktnu štetu.

Još iz kategorije

Istraživanje pokazuje da 62 posto hrvatskih trgovaca danas najviše voli primiti gotovinu

Istraživanje pokazuje da 62 posto hrvatskih trgovaca danas najviše voli primiti gotovinu

23.03.2019. komentiraj

Norveška tvrtka Auka angažirala je britansku istraživačku agenciju LM Research da provede istraživanje među 28 tisuća malih i velikih trgovaca te tvrtki u ugostiteljstvu i hotelijerstvu na razini svih 28 zemalja Europske unije. Rezultati ovog istraživanja danas su predstavljeni u Zagrebu na događanju organiziranom u suradnji s Veleposlanstvom Kraljevine Norveške.

Redizajnirana web stranica WWW.HR

Redizajnirana web stranica WWW.HR

22.03.2019. komentiraj

Osnovne informacije o Hrvatskoj sada su dostupne na novoj redizajniranoj mrežnoj stranici WWW.HR. Uz atraktivan izgled i poboljšane funkcionalnosti početna stranica Hrvatske posjetiteljima nudi i nov sadržaj.

Mozilla predstavila besplatnu kriptiranu platformu Firefox Send za dijeljenje datoteka

Mozilla predstavila besplatnu kriptiranu platformu Firefox Send za dijeljenje datoteka

21.03.2019. komentiraj

Mozilla je predstavila Firefox Send, kriptiranu i besplatnu platformu za dijeljenjem kojoj se može pristupiti sa svih internetskih preglednika jednostavno preko adrese send.firefox.com. Usluga radi kao i svaka druga koja se tiče dijeljenja sadržaja, samo što ova omogućava postavljanje na Mozilline servere i potom se putem linka dijeli bilo kome. Uz to, podaci su kriptirani, samim time sigurni, ali ni to nije nešto što konkurencija ne nudi.