Mokymai

TVS „Drupal“ saugumo spragos

2016-07-19

Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie kelias kritines populiariosios turinio valdymo sistemos „Drupal“ spragas.

Pažeidžiamos yra 7.x „Drupal“ versijos, kurios sudaro 80 proc. visų „Drupal“ pagrindu veikiančių svetainių. Spragų kritiškumas pagal sistemos kūrėjų įvertinimą – nuo 17 iki 22 balų iš 25. Pažeidžiamų interneto svetainių skaičius – iki 10 000. Turinio valdymo sistemos branduolys yra saugus, o spraga aptikta populiariuose moduliuose:

1) „Webform Multifile“;

2) „Coder“ (šiuo atveju nebūtina, kad modulis būtų aktyvuotas, pakanka, kad jis būtų įdiegtas);

3) „RESTful Web Services“


 

CERT-LT rekomenduoja:

1) Jei svetainės valdymui naudojama „Drupal“, patikrinti, kokie moduliai yra įdiegti.

2) Jei yra įdiegtas pažeidžiamas modulis, nedelsiant jį atnaujinti.


 

Daugiau informacijos:

1) https://www.drupal.org/psa-2016-001 (anglų kalba)

2) https://www.drupal.org/node/2765573 (apie „Webform Multifile“, anglų kalba)

3) https://www.drupal.org/node/2765575 (apie „Coder“, anglų kalba)

4) https://www.drupal.org/node/2765567 (apie „RESTful Web Services“, anglų kalba)

Visi pranešimai