WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Drupal bắt đầu vá các lỗi liên quan đến quá trình cập nhật
Các nhà phát triển hệ thống quản lý nội dung (CMS) của Drupal đã bắt đầu vá các lỗ hổng liên quan đến quá trình cập nhật mới được tiết lộ gần đây.
Tuần trước, nhà nghiên cứu Fernando Arnaboldi của IOActive thông báo về ba lỗ hổng an ninh liên quan đến quá trình cập nhật của Drupal. Cụ thể, Drupal 7 và 8 sẽ đưa ra thông báo rằng cài đặt của người dùng là bản cập nhật nhất nếu có lỗi xảy ra trong quá trình cài đặt.
Phía Drupal thừa nhận các lỗi này cần được khắc phục, nhưng đồng thời cũng nhấn mạnh chỉ trang "Available updates (Cập nhật có sẵn)" trong giao diện quản trị là không cảnh báo đúng về các lỗi.
Lỗ hổng thứ hai là lỗi cross-site request forgery (CSRF - mượn quyền trái phép) trong tính năng "Check manually (Kiểm tra thủ công)" có thể bị khai thác để buộc quản trị viên kiểm tra cập nhật. Lỗ hổng này cũng có thể bị khai thác để sử dụng một lượng lớn tài nguyên từ Drupal.org qua một cuộc tấn công server-side request forgery (SSRF – giả mạo yêu cầu từ máy chủ).
Nhà nghiên cứu của IOActive cũng phát hiện bản cập nhật an ninh của Drupal được gửi đi mà không mã hóa và tính xác thực không được kiểm tra. Lỗ hổng này, được biết đến từ năm 2012, cho phép kẻ tấn công man-in-the-middle (MITM) chặn kết nối và thay bằng một phiên bản Drupal có backdoor hay một module Drupal. Tin tặc có thể khai thác lỗ hổng này để phá hoại trang web mục tiêu.
Drupal chỉ ra rằng tuy các lỗ hổng CSRF có thể mang lại nguy cơ nghiêm trọng, nhưng lại chỉ có giá trị cho kẻ tấn công có khả năng chặn kết nối hoặc nhiễm độc DNS. Trong trường hợp chiếm dụng tài nguyên Drupal.org, kẻ tấn công không dễ dàng gây ra thiệt hại lớn vì có hàng triệu trang web gửi nhiều yêu cầu mỗi ngày đến cho Drupal.org. Hơn nữa, Drupal chỉ ra rằng dịch vụ cập nhật được lưu trữ và đặt sau mạng lưới phân phối nội dung (CDN).
Thực tế là bản cập nhật an ninh được tải về ngay cả khi không được mã hóa cũng chỉ có thể bị khai thác bởi kẻ tấn công có vị trí đặc quyền trong mạng hoặc người có thể thực hiện việc nhiễm độc DNS, Drupal cho biết.
Drupal đang trong quá trình vá các lỗ hổng CSRF và lỗ hổng liên quan đến quá trình cập nhật. Với việc chuyển tập tin không được mã hóa, các nhà phát triển cho biết họ đang trong quá trình chuyển đổi hạ tầng và quá trình cập nhật đến các kênh an toàn. Các kênh download không sử dụng SSL đã được xác định và một số bản vá lỗi đã được tung ra.
"Chúng tôi đã chuyển sang phương thức download phổ biến nhất là sử dụng mặc định https và đang nghiên cứu để thêm SSL vào các download nặc danh thông qua kiểm soát phiên bản (git). Bước tiếp theo là phát hành một lõi Drupal cập nhật", Drupal cho biết.
Người dùng được khuyến cáo cập nhật Drupal ngay khi có phiên bản mới. Và cho đến khi tất cả các kênh download được đảm bảo an toàn, người dùng có thể có mã qua SSL bằng cách thủ công tải bản phát hành từ các trang dự án của họ.
Nguồn: SecurityWeek
Tuần trước, nhà nghiên cứu Fernando Arnaboldi của IOActive thông báo về ba lỗ hổng an ninh liên quan đến quá trình cập nhật của Drupal. Cụ thể, Drupal 7 và 8 sẽ đưa ra thông báo rằng cài đặt của người dùng là bản cập nhật nhất nếu có lỗi xảy ra trong quá trình cài đặt.
Phía Drupal thừa nhận các lỗi này cần được khắc phục, nhưng đồng thời cũng nhấn mạnh chỉ trang "Available updates (Cập nhật có sẵn)" trong giao diện quản trị là không cảnh báo đúng về các lỗi.
Lỗ hổng thứ hai là lỗi cross-site request forgery (CSRF - mượn quyền trái phép) trong tính năng "Check manually (Kiểm tra thủ công)" có thể bị khai thác để buộc quản trị viên kiểm tra cập nhật. Lỗ hổng này cũng có thể bị khai thác để sử dụng một lượng lớn tài nguyên từ Drupal.org qua một cuộc tấn công server-side request forgery (SSRF – giả mạo yêu cầu từ máy chủ).
Nhà nghiên cứu của IOActive cũng phát hiện bản cập nhật an ninh của Drupal được gửi đi mà không mã hóa và tính xác thực không được kiểm tra. Lỗ hổng này, được biết đến từ năm 2012, cho phép kẻ tấn công man-in-the-middle (MITM) chặn kết nối và thay bằng một phiên bản Drupal có backdoor hay một module Drupal. Tin tặc có thể khai thác lỗ hổng này để phá hoại trang web mục tiêu.
Drupal chỉ ra rằng tuy các lỗ hổng CSRF có thể mang lại nguy cơ nghiêm trọng, nhưng lại chỉ có giá trị cho kẻ tấn công có khả năng chặn kết nối hoặc nhiễm độc DNS. Trong trường hợp chiếm dụng tài nguyên Drupal.org, kẻ tấn công không dễ dàng gây ra thiệt hại lớn vì có hàng triệu trang web gửi nhiều yêu cầu mỗi ngày đến cho Drupal.org. Hơn nữa, Drupal chỉ ra rằng dịch vụ cập nhật được lưu trữ và đặt sau mạng lưới phân phối nội dung (CDN).
Thực tế là bản cập nhật an ninh được tải về ngay cả khi không được mã hóa cũng chỉ có thể bị khai thác bởi kẻ tấn công có vị trí đặc quyền trong mạng hoặc người có thể thực hiện việc nhiễm độc DNS, Drupal cho biết.
Drupal đang trong quá trình vá các lỗ hổng CSRF và lỗ hổng liên quan đến quá trình cập nhật. Với việc chuyển tập tin không được mã hóa, các nhà phát triển cho biết họ đang trong quá trình chuyển đổi hạ tầng và quá trình cập nhật đến các kênh an toàn. Các kênh download không sử dụng SSL đã được xác định và một số bản vá lỗi đã được tung ra.
"Chúng tôi đã chuyển sang phương thức download phổ biến nhất là sử dụng mặc định https và đang nghiên cứu để thêm SSL vào các download nặc danh thông qua kiểm soát phiên bản (git). Bước tiếp theo là phát hành một lõi Drupal cập nhật", Drupal cho biết.
Người dùng được khuyến cáo cập nhật Drupal ngay khi có phiên bản mới. Và cho đến khi tất cả các kênh download được đảm bảo an toàn, người dùng có thể có mã qua SSL bằng cách thủ công tải bản phát hành từ các trang dự án của họ.
Nguồn: SecurityWeek