Otkrivena velika sigurnosna rupa u Drupal CMS

Projekt Drupal poziva website administratore da instaliraju što prije nadopune kako bi se osigurali da pronađena ranjivost ne načini štetu u narednom peroidu. Jer, otkriven je visokorizičan bug koji utječe na Drupal core CMS i zato se ništa nije prepuštalo slučaju već se odmah zajednici poručilo da reagira što je prije moguće. Verzije koje su pogođene redom su Drupal 8.6.x, Drupal 8.5.x i ranije.

Možda nije šire poznato, ali Drupal je treći najpopularniji CMS za web stranice i čini oko tri posto udjela na tržištu. Na njemu je više od milijardu web stranica, što znači da se radi o više od 30 milijuna web stranica i već po tome je dovoljno jasno koliko su ova upozorenja bitna i koliko je bitno što prije riješiti svaki mogući problem.

Jer, ukoliko hakeri iskoriste ranjivost nazvanu CVE-2019-6340, mogu pridobiti kontrolu nad web serverom, a sve zbog činjenice da neki tipovi datoteka ne reagiraju dobro s izvorima bez forme, kao što su RESTful web usluge. Taj izostanak reakcije dovodi do PHP egzekucije koda koji potiče ranjivost. Ona se, inače, može ukloniti i prije preuzimanja nadopune zabranom PUT/PATCH/POST zahtjeva prema resursima web usluga. Također, problem se može riješiti i nadogradnjom na novije verzije, a to podrazumijeva Drupal 8.6.10 i Drupal 8.5.11.

Situacija nije riješana ni nakon nadopune same Drupal 8 jezgre jer administratori moraju instalirati i sigurnosne nadopune za nekoliko Drupalovih projekata "treće strane". To uključuje Font Awesome Icons, Translation Management Tool, Paragraphs, Video, Metatag, Link, JSON:API i RESTful Web Services.

I, ako su administratori uočili da se spominje Drupal 8 jezgra, tad moraju znati da ukoliko imaju Drupal 7 jezgru onda ne moraju preuzimati nadopune. Barem taj detalj olakšava administratorima život.

A oni kojima nije olaškan jer su napadnuti, možda bude malo lakše sa spoznajom da su hakeri iskoristili ranjivost samo kako bi postavili alate za rudarenje kriptovaluta, što se lako ukloni i ne čini nikakvu direktnu štetu.