Popüler açık kaynak kodlu içerik yönetim sistemi olan Drupal, Drupal Core'daki uzak saldırganların yüz binlerce web sitesinin güvenliğini tehlikeye sokmasına izin verebilecek birden fazla "orta derecede kritik" güvenlik açığını gidermek için güvenlik güncelleştirmeleri yayımladı.
Bugün Drupal geliştiricileri tarafından yayınlanan önerilere göre, bu ay yayan Drupal güvenlik açıkları Drupal 8.6, Drupal 8.5 veya daha önceki ve Drupal 7'deki üçüncü taraf kütüphanelerde bulunmaktadır.
Güvenlik kusurlarından biri, milyonlarca web sitesi tarafından kullanılan ve Drupal Core'a önceden entegre edilmiş en popüler JavaScript kitaplığı olan JQuery adlı üçüncü taraf bir eklentide bulunan ve siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır.
Geçtiğimiz hafta, JQuery kütüphanenin önceki tüm sürümlerini o güne kadar etkileyen bir CVE numarası atanmamış güvenlik açığını düzeltmek için en son sürümü olan jQuery 3.4.0'ı yayımladı.
"jQuery 3.4.0, jQuery.extend (true, {}, ...) kullanırken bazı istenmeyen davranışlar için bir düzeltme içerir. Doğrulanmamış bir kaynak nesnesi numaralandırılabilir bir __proto__ özelliği içeriyorsa, yerel Object.prototype öğesini genişletebilir"
“Bu güvenlik açığının bazı Drupal modülleri ile sömürülmesi mümkündür.”
Geri kalan üç güvenlik açığı, Drupal Core tarafından kullanılan ve siteler arası komut dosyası çalıştırma (CVE-2019-10909), uzaktan kod yürütme (CVE-2019-10910) ve kimlik doğrulama bypass (CVE-2019-1091) ile sonuçlanabilecek Symfony PHP bileşenlerinde bulunmaktadır. saldırılar.
Bilgisayar korsanları arasındaki Drupal istismarlarının popülerliği göz önüne alındığında, en kısa zamanda CMS'nin en son güncellemesini yüklemeniz önerilir:
- Drupal 8.6 kullanıyorsanız, Drupal 8.6.15'e güncelleyin.
- Drupal 8.5 veya daha önceki bir sürümünü kullanıyorsanız, Drupal 8.5.15'e güncelleyin.
- Drupal 7 kullanıyorsanız, Drupal 7.66'ya güncelleyin.
Neredeyse iki ay önce, Drupal uzmanları Drupal Core'da, uzaktan saldırganların müşterilerinin web sitesini kırmasına izin verebilecek herhangi bir teknik ayrıntıyı yayınlamadan kritik bir RCE güvenlik açığını düzeltti.
Ancak buna rağmen, ekibin yazılımının yamalı sürümünü kullanıma sunmasından yalnızca iki gün sonra, güvenlik açığı için kavram kanıtı (PoC) exploit kodu Internet üzerinden herkes tarafından erişilebilir hale getirildi.
Ve sonra, birkaç kişi ve bir hacker grubu, CMS'lerini en son sürüme güncellemeyen güvenlik açığı bulunan Drupal web sitelerine kripto para madenciliği yapmak için bu hatayı aktif olarak kullanmaya başladı.
Bu durumda da saldırılar PoC'nin her iki güvenlik açığı için kodun kullanılması ve internette yayınlandıktan kısa bir süre sonra başladı ve ardından bunu büyük ölçekli İnternet taraması ve sömürme girişimleri takip etti.
Uzun lafın kısası - Çok geç olmadan web sitelerinizi düzeltin.
thehackersnews'dan alıntıdır.
Hiç yorum yok:
Yorum Gönder