به‌روزرسانی دروپال و رفع ۱۰ آسیب‌پذیری این سامانه‌ی مدیریت محتوا

توسعه‌دهندگان در دروپال این هفته ۱۰ آسیب‌پذیری را در این سامانه‌‌ی مدیریت محتوا مورد هدف قرار دادند، از جمله یک مسئله‌ی دور زدن دسترسی بحرانی که به کاربران اجازه‌ی دسترسی به عوامل مشخص که بلاک‌شده تصور می‌شوند را می‌دهد و مشکل دیگر این است که این آسیب‌پذیری‌ها می‌توانند منجر به اجرای کد از راه دور شوند.
دروپال توصیه می‌کند که از طریق آسیب‌پذیری دور زدن دسترسی بحرانی، یک کاربر می‌تواند ورودی خود را از طریق جاوااسکریپت برای تشکیل دکمه ارائه دهد. این مشکل را می‌توان را با این تضمین اصلاح کرد که یک نفوذگر باید به ارائه‌ی شکلی دسترسی یابد که چنین دکمه‌هایی برای آن تعریف شده باشد.
مابقی تعمیرات و اصلاحات مربوط به خطاهای متوسط تا کم‌اهمیت است.
این موضوع کمی کار می‌برد اما از طریق یکی از آسیب‌پذیری‌های خطای متوسط، اگر یک نفوذگر هم از پروند‌ه‌ای که مسئله‌ی دور زدن دسترسی را بارگذاری می‌کند و هم از انسداد سرویس در دروپال ۷ و ۸ استفاده کند، آن‌گاه می‌تواند پرونده‌های بلاک‌شده را توسط حذف پرونده‌‌های موقت پیش از این‌که ذخیره شوند بارگذاری کند.
در جایی دیگر مشکلی با کارگزار XML-RPC به گونه‌ای رفع شده است که به نفوذگر اجازه می‌دهد که مجموعه‌ای از حملات توسعه‌دهنده را انجام دهد.
به‌روزرسانی‌ها هم‌چنین یک مجموعه‌ی کامل از آسیب‌پذیری‌هایی را اصلاح می‌کند که می‌توانند به دست‌کاری مسیر منجر شوند، مشکلی در دستورالعمل این سامانه‌‌ی CMS می‌تواند یک حمله‌ی آلودگی HTTP را راه‌اندازی کند و پرونده‌ای که آسیب‌پذیری در سامانه‌ی‌ CMS را بارگیری می‌کند، منعکس کند.
بر اساس توصیه‌ی دروپال، اصلاحیه‌هایی که کمتر بحرانی هستند مشکلی را با اطلاعات مرتب‌نشده‌ی کاربر در بخش‌های دروپال و مشکلی را با API ذخیره‌ی کاربر دروپال، مورد خطاب قرار می‌دهد. مسئله‌ی اطلاعات مرتب‌نشده‌ی کاربر، برخلاف این‌که کمتر بحرانی عنوان شده است، هنوز می‌تواند منجر به اجرای کد از راه دور احتمالی شود، این مشکل به سختی رفع می‌شود؛ چرا که به شرایط غیرمعمولی برای سوءاستفاده نیاز دارد و به کد دروپال به خصوصی نیاز دارد که روی وب‌گاه در حال اجرا است. چون هنوز این مشکل از نسخه‌های قدیمی PHP سرچشمه می‌گیرد، مشکل را نیز می‌توان با ارتقای PHP به یکی از نسخه‌های ۵.۴.۴۵، ۵.۵.۲۹، ۵.۶.۱۳ را اصلاح کرد.
بسته به این‌که کاربر چه چیزی را راه‌اندازی می‌کند، وصله‌های۶x ارتقاء‌یافته به ۶.۳۸ و ۷.x به ۷.۴۳ و ۸.۰.x به ۸.۰.۴ منتشر شده‌اند.
این به‌روزرسانی که شامل چندین اصلاح برای کاربرانی است که از دروپال۶ استفاده می‌کنند، آخرین نسخه‌ای است که کاربران دریافت خواهند کرد. تیم امنیتی دروپال که شب گذشته راجع به این اصلاحات اطلاع دادند، هم‌چنین به کاربران یادآوری کردند که این به‌روزرسانی آخرین مورد است و این ساختار به پایان عمرش نزدیک شده و هیچ به‌روزرسانی دیگری را دریافت نخواهد کرد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.