Compania de securitate IOActive a publicat miecuri informatii referitoare la mai multe vulnerabilitati din procesul de update al CMS-ului (content managemement system) Drupal.
Potrivit cercetatorului Fernando Arnaboldi, una dintre probleme vizeaza modul in care Drupal afiseaza notificarile atunci cand apar update-uri noi. Astfel, daca exista o problema de retea, utilizatorii sunt informati ca versiunea de Drupal este la zi, chiar daca nu este asa.
Arnaboldi a mai spus ca Drupal 6 afiseaza un mesaj de avertizare in cazul in care exista unele probleme de retea, dar versiunile 7 si 8 afiseaza in mod eronat ca CMS-ul este actualizat.
Utilizatorii pot verifica manual daca exista update-uri noi, facand click pe link-ul “Check manually” de pe pagina “Available updates”.
O alta problema este ca update-urile pentru Drupal sunt descarcate necriptat si legitimitatea lor nu este verificata in mod corespunzator. Astfel, printr-un atac de tip man-in-the-middle, un atacator poate exploata aceasta vulnerabilitate pentru a oferi spre download o versiune malware de Drupal in loc de una legitima. De asemenea, Arnaboldi a demonstrat si ca un atacator poate modifica continutul paginii “Available updates” pentru a creste sansele ca victima sa descarce malware.
Deocamdata nu sunt disponibile patch-uri pentru aceste vulnerabilitati de securitate, astfel ca recomandam clientilor megahost.ro sa descarce manual update-urile pentru Drupal, dar si pentru add-on-urile folosite.