Otkrivena velika sigurnosna rupa u Drupal CMS

Otkrivena velika sigurnosna rupa u Drupal CMS

Projekt Drupal poziva website administratore da instaliraju što prije nadopune kako bi se osigurali da pronađena ranjivost ne načini štetu u narednom peroidu. Jer, otkriven je visokorizičan bug koji utječe na Drupal core CMS i zato se ništa nije prepuštalo slučaju već se odmah zajednici poručilo da reagira što je prije moguće. Verzije koje su pogođene redom su Drupal 8.6.x, Drupal 8.5.x i ranije.

Možda nije šire poznato, ali Drupal je treći najpopularniji CMS za web stranice i čini oko tri posto udjela na tržištu. Na njemu je više od milijardu web stranica, što znači da se radi o više od 30 milijuna web stranica i već po tome je dovoljno jasno koliko su ova upozorenja bitna i koliko je bitno što prije riješiti svaki mogući problem.

Jer, ukoliko hakeri iskoriste ranjivost nazvanu CVE-2019-6340, mogu pridobiti kontrolu nad web serverom, a sve zbog činjenice da neki tipovi datoteka ne reagiraju dobro s izvorima bez forme, kao što su RESTful web usluge. Taj izostanak reakcije dovodi do PHP egzekucije koda koji potiče ranjivost. Ona se, inače, može ukloniti i prije preuzimanja nadopune zabranom PUT/PATCH/POST zahtjeva prema resursima web usluga. Također, problem se može riješiti i nadogradnjom na novije verzije, a to podrazumijeva Drupal 8.6.10 i Drupal 8.5.11.

Situacija nije riješana ni nakon nadopune same Drupal 8 jezgre jer administratori moraju instalirati i sigurnosne nadopune za nekoliko Drupalovih projekata "treće strane". To uključuje Font Awesome Icons, Translation Management Tool, Paragraphs, Video, Metatag, Link, JSON:API i RESTful Web Services.

I, ako su administratori uočili da se spominje Drupal 8 jezgra, tad moraju znati da ukoliko imaju Drupal 7 jezgru onda ne moraju preuzimati nadopune. Barem taj detalj olakšava administratorima život.

A oni kojima nije olaškan jer su napadnuti, možda bude malo lakše sa spoznajom da su hakeri iskoristili ranjivost samo kako bi postavili alate za rudarenje kriptovaluta, što se lako ukloni i ne čini nikakvu direktnu štetu.

Još iz kategorije

Google čuvao nezaštićene lozinke G Suite korisnika punih 14 godina

Google čuvao nezaštićene lozinke G Suite korisnika punih 14 godina

24.05.2019. komentiraj

Google možda jest jedna od najvećih tehnoloških kompanija na svijetu, ali griješi poput onih mnogo manjih, što je potvrdila posljednja informacija, prema kojoj su sve G Suite lozinke bile nezaštićene posljednjih 14 godina. Upravo tako, 14 godina!

Finalna epizoda Igre prijestolja blokirana u Kini

Finalna epizoda Igre prijestolja blokirana u Kini

24.05.2019. komentiraj

Sjedinjene Američke Države su po naredbi predsjednika Donalda Trumpa doslovno zabranile poslovanje Huaweiju na njenom tlu, što je ponukalo Google da otkaže suradnju kineskoj kompaniji, da bi to ponukalo Tencent u neemitiranju finalne epizoda Igre prijestolja u Kini! S obzirom na kritike i ocjenu od 4,4 na IMDB, možda je za Kineze to plus, ali sami potez svakako je “oteo” za HBO nekoliko stotina milijuna gledatelja više.

TOP 5 najboljih alternativnih internet preglednika za Android

TOP 5 najboljih alternativnih internet preglednika za Android

23.05.2019. komentiraj

Android mobilni uređaji u velikoj većini slučajeva automatski dolaze s predinstaliranim Chrome internetskim preglednikom, koji je dovoljno kvalitetan, ali ne mora biti svakom korisniku jednako vrijedan. Dakle, svi oni koji žele neka alternativna rješenja mogu se njima i okrenuti jer internetskih preglednika za Android mobilne uređaje ne nedostaje. I ovdje predstavljamo pet najboljih.