TVS „Drupal“ saugumo spragos
Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie kelias kritines populiariosios turinio valdymo sistemos „Drupal“ spragas.
Pažeidžiamos yra 7.x „Drupal“ versijos, kurios sudaro 80 proc. visų „Drupal“ pagrindu veikiančių svetainių. Spragų kritiškumas pagal sistemos kūrėjų įvertinimą – nuo 17 iki 22 balų iš 25. Pažeidžiamų interneto svetainių skaičius – iki 10 000. Turinio valdymo sistemos branduolys yra saugus, o spraga aptikta populiariuose moduliuose:
1) „Webform Multifile“;
2) „Coder“ (šiuo atveju nebūtina, kad modulis būtų aktyvuotas, pakanka, kad jis būtų įdiegtas);
3) „RESTful Web Services“
CERT-LT rekomenduoja:
1) Jei svetainės valdymui naudojama „Drupal“, patikrinti, kokie moduliai yra įdiegti.
2) Jei yra įdiegtas pažeidžiamas modulis, nedelsiant jį atnaujinti.
Daugiau informacijos:
1) https://www.drupal.org/psa-2016-001 (anglų kalba)
2) https://www.drupal.org/node/2765573 (apie „Webform Multifile“, anglų kalba)
3) https://www.drupal.org/node/2765575 (apie „Coder“, anglų kalba)
4) https://www.drupal.org/node/2765567 (apie „RESTful Web Services“, anglų kalba)
Visi pranešimai