Tři vysoce kritické bezpečnostní opravy pro moduly systému Drupal

Včera vyšlo tajemné upozornění na vysoce kritickou zranitelnost v některých modulech pro Drupal 7. Netýká se to samotného jádra Drupalu. Dnes vyšly opravy a popis chyb. Pokud moduly používáte, neměli byste nic podcenit, útoky na dané zranitelnosti se očekávají v řádu hodin. Takže aktualizujte.

Reklama

A které moduly jsou konkrétně postiženy? Jedná se o trojici modulů Coder, RESTful Web Services a Webform Multiple File Upload.

Coder pomáhá vývojářům kontrolovat kvalitu zápisu jejich kódu. Bohužel nesprávně zpracovával vstup a pokud mu byl předložen škodlivý PHP soubor, mohlo to mít dalekosáhlé důsledky. Řešením je buď vypnutí modulu (ostatně na produkci nemá co dělat) nebo aktualizace na nejnovější verzi.

Pozor, modul Coder ani nemusí být zapnutý, aby mohlo dojít k jeho zneužití…

Chyba v modulu RESTful Web Services umožňuje i anonymnímu útočníkovi službě předhodit data umožňující spuštění PHP kódu a poničení či ovládnutí webu. Řešením je opět aktualizace na nejnovější verzi.

A konečně, v modulu Webform Multiple File Upload umožňujícímu nahrávat soubory do webových formulářů je rovněž chyba umožňující nahrávat i anonymním uživatelům škodlivé soubory, pomocí kterých jsou schopni vykonat vzdálené spuštění kódu. Řešením je aktualizace na nejnovější verzi modulu.

Není to dle mého názoru tak strašné, zmíněné moduly myslím nemám na žádném z webů v produkční verzi a nepovažuji je za kdovíjak rozšířené. Přesto byste měli své weby pro jistotu zkontrolovat, zvlášť, pokud jich máte hodně a nejste si jisti, zda jste moduly nepoužili.

Zdroj: Drupal Security Advisories

Volná místa v IT

Reklama

Přidat komentář