Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Drupal vá 10 lỗ hổng trong bản cập nhật mới
Drupal vừa đưa ra bản cập nhật mới vào hôm qua, vá 10 lỗ hổng trên 3 phiên bản chính 6.x, 7.x và 8.x.
Xét về mức độ, trong số 10 lỗ hổng có một lỗ hổng được đánh giá mức nghiêm trọng, 6 lỗ hổng mức trung bình và 3 lỗ hổng ít nghiêm trọng.
Lỗ hổng mức nghiêm trọng chỉ ảnh hưởng đến phiên bản 6.x, liên quan tới vấn đề qua mặt cơ chế xác thực, cho phép người dùng không phải quản trị tương tác với các nút vốn dành cho quản trị.
Dịch vụ Drupal XML-RPC có thể bị lợi dụng để tấn công brute force (tấn công dò mật khẩu)
Các lỗ hổng mức trung bình bao gồm lỗ hổng qua mặt upload tập tin dẫn tới từ chối dịch vụ nội bộ (ảnh hưởng tới phiên bản 7 và 8); lỗ hổng liên quan tới chuyển hướng trên trang 404 error định tuyến người dùng tới các đường dẫn độc hại (ảnh hưởng tới các phiên bản 6, 7 và 8).
Ngoài ra, Drupal cũng vá lỗ hổng trong quá khứ từng ảnh hưởng tới các site WordPress. Rõ ràng là, hệ quản trị nội dung Drupal cũng chứa dịch vụ XML-RPC có thể bị lạm dụng theo cách giống như trên WordPress để thực hiện tấn công brute force trên trang đăng nhập quản trị (ảnh hưởng tới phiên bản 6 và 7).
Các lỗ hổng mức trung bình khác được vá bao gồm chèn header HTTP bằng sử dụng line breaks (ảnh hưởng tới phiên bản 6), chuyển hướng qua thông số “destination” được double-encoded (mã hóa đôi), và vấn đề tải tập tin ánh xạ (ảnh hưởng tới phiên bản 6 và 7).
Các vấn đề ít nghiêm trọng hơn bao gồm lỗ hổng cấp thêm quyền cho tài khoản người dùng (ảnh hưởng tới phiên bản 6 và 7), lỗ hổng bỏ sắp xếp dữ liệu trong quá trình trung chuyển do cắt ngắn dữ liệu, và lỗ hổng cho phép người dùng đăng nhập vào địa chỉ email thay vì sử dụng username (ảnh hưởng tới phiên bản 7 và 8).
Đã đến thời điểm “kết thúc vòng đời” của Drupal 6
Toàn bộ những vấn đề nêu trên đã được vá trên phiên bản 8.0.4, 7.43 và 6.38. Người dùng có thể tải bản mới từ hôm nay.
Ngoài ra, Drupal cũng thông báo tới người dùng ngày 24/2 về việc phiên bản 6.x của hãng đã đến thời điểm “kết thúc vòng đời sản phẩm” (End Of Life).
Điều này có nghĩa, ngoại trừ các bản vá khẩn cấp, phiên bản 6 sẽ không được bổ sung bất kỳ tính năng mới hay hỗ trợ nào từ đội kỹ thuật của Drupal.
Nguồn: Softpedia
Xét về mức độ, trong số 10 lỗ hổng có một lỗ hổng được đánh giá mức nghiêm trọng, 6 lỗ hổng mức trung bình và 3 lỗ hổng ít nghiêm trọng.
Lỗ hổng mức nghiêm trọng chỉ ảnh hưởng đến phiên bản 6.x, liên quan tới vấn đề qua mặt cơ chế xác thực, cho phép người dùng không phải quản trị tương tác với các nút vốn dành cho quản trị.
Dịch vụ Drupal XML-RPC có thể bị lợi dụng để tấn công brute force (tấn công dò mật khẩu)
Các lỗ hổng mức trung bình bao gồm lỗ hổng qua mặt upload tập tin dẫn tới từ chối dịch vụ nội bộ (ảnh hưởng tới phiên bản 7 và 8); lỗ hổng liên quan tới chuyển hướng trên trang 404 error định tuyến người dùng tới các đường dẫn độc hại (ảnh hưởng tới các phiên bản 6, 7 và 8).
Ngoài ra, Drupal cũng vá lỗ hổng trong quá khứ từng ảnh hưởng tới các site WordPress. Rõ ràng là, hệ quản trị nội dung Drupal cũng chứa dịch vụ XML-RPC có thể bị lạm dụng theo cách giống như trên WordPress để thực hiện tấn công brute force trên trang đăng nhập quản trị (ảnh hưởng tới phiên bản 6 và 7).
Các lỗ hổng mức trung bình khác được vá bao gồm chèn header HTTP bằng sử dụng line breaks (ảnh hưởng tới phiên bản 6), chuyển hướng qua thông số “destination” được double-encoded (mã hóa đôi), và vấn đề tải tập tin ánh xạ (ảnh hưởng tới phiên bản 6 và 7).
Các vấn đề ít nghiêm trọng hơn bao gồm lỗ hổng cấp thêm quyền cho tài khoản người dùng (ảnh hưởng tới phiên bản 6 và 7), lỗ hổng bỏ sắp xếp dữ liệu trong quá trình trung chuyển do cắt ngắn dữ liệu, và lỗ hổng cho phép người dùng đăng nhập vào địa chỉ email thay vì sử dụng username (ảnh hưởng tới phiên bản 7 và 8).
Đã đến thời điểm “kết thúc vòng đời” của Drupal 6
Toàn bộ những vấn đề nêu trên đã được vá trên phiên bản 8.0.4, 7.43 và 6.38. Người dùng có thể tải bản mới từ hôm nay.
Ngoài ra, Drupal cũng thông báo tới người dùng ngày 24/2 về việc phiên bản 6.x của hãng đã đến thời điểm “kết thúc vòng đời sản phẩm” (End Of Life).
Điều này có nghĩa, ngoại trừ các bản vá khẩn cấp, phiên bản 6 sẽ không được bổ sung bất kỳ tính năng mới hay hỗ trợ nào từ đội kỹ thuật của Drupal.
Nguồn: Softpedia