Na początku tego tygodnia, opublikowano poradę odnośnie zabezpieczenia, która szczegółowo opisywała ostatnie problemy z bezpieczeństwem, które zostały dostrzeżone i naprawione.
Te trzy błędy, oznaczone jako SA-CORE-2016-004, dotyczą wersji 8.x CMS. Użytkownikom radzi się, aby dokonali aktualizacji do Drupal 8.1.10.
Pierwszy defekt, uznany za najmniej groźny, jest problemem, który pozwala użytkownikom bez uprawnień admina na ujawnienie komentarza na nodach, które mogą edytować. Normalnie nie mają oni takich możliwości.
Defekt numer dwa, krytyczny, to błąd wywoływania skryptów z innych stron w http. Jak podaje Drupal, hakerzy mogą wykorzystać tę funkcję do stworzenia specjalnych URL, które mają zainstalować kod w wyszukiwarce ofiary. Problem pojawił się, kiedy CMS Drupal nie zachował się właściwie dla niektórych wyjątków http.
Trzecim defektem zabezpieczenia jest kwestia krytyczna, która dała hakerom możliwość ściągnięcia pełnej konfiguracji Drupal bez pozwolenia.
– Tymczasowe obejście pozwoliłoby na ściągniecie pełnej konfiguracji – powiedział Drupal. – To powinno być ograniczone do osób, które posiadają pozwolenie na jej eksportowanie.
Zdjęcie: [1]