Tin An Ninh Mạng

Drupal tung ra bản cập nhật để vá hai lỗ hổng thực thi mã từ xa

hacker 14
Các bản cập nhật phát hành hôm thứ Tư cho Drupal 7 và 8 đã vá nhiều lỗ hổng nghiêm trọng, gồm nhiều vấn đề được đánh giá “nguy hiểm”. Cụ thể, bản cập nhật lần này được tung ra để vá 2 lỗi thực thi từ xa, một lỗi vượt qua cơ chế truy cập (access bypass) và một lỗi Open Redirect.

{

}

drupal.png

Tất cả các phiên bản của hệ thống quản lý nội dung của Drupal đều bị ảnh hưởng bởi hai lỗ hổng rất nghiêm trọng. Hacker có thể dễ dàng khai thác lỗi này để kiểm soát hoàn toàn các trang web bị ảnh hưởng. Lỗi RCE thứ nhất bắt nguồn từ việc không kiểm tra kỹ các đối số shell (shell arguments). Drupal không mô tả rõ ràng rằng lỗi này có yêu cầu xác thực hay không, nhưng nó được Drupal đánh giá là cực kỳ nghiêm trọng (critical). Lỗi RCE thứ hai bắt nguồn từ Contextual Links modul. Tuy nhiên để khai thác lỗi này, kẻ tấn công phải có quyền truy cập vào Contextual Links.

Phiên bản chịu ảnh hưởng bởi các lỗ hổng kể trên

  • Drupal 7.x version < 7.60
  • Drupal 8.6.x version < 8.6.2
  • Drupal 8.5.x (and versions earlier than 5.x) version < 8.5.8

Phiên bản không chịu ảnh hưởng bởi các lỗ hổng kể trên

Giải pháp

Drupal đã chính thức tung ra các phiên bản mới để vá các lỗ hổng này, các quản trị viên website đang sử dụng Drupal, hãy cập nhật phiên bản Drupal mới nhất để khắc phục và đảm bảo an toàn cho website. Chi tiết hơn các bạn có thể xem thêm tại đây.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !