Drupal elimina un bug care permitea hackerilor sa reseteze parolele conturilor

logo-drupal-name_0Compania Drupal, care detine sistemul de management de continut cu acelasi nume, a remediat recent doua vulnerabilitati critice, lansand versiunile Drupal 6.35 si Drupal 7.35.

Pe site-ul Drupal scrie ca una dintre vulnerabilitati permitea crearea, in anumite circumstante, de URL-uri pentru resetarea parolei. Acest lucru insemna ca un hacker putea obtine acces la contul unui alt utilizator, fara sa stie parola.

Cele mai vulnerabile site-uri Drupal sunt acelea la care se foloseste aceeasi parola pentru mai multe conturi. In cazul lui Drupal 7, vulnerabilitatea poate fi exploatata numai in cazul in care administratorii site-ului importa sau editeaza conturile de utilizator intr-un mod care conduce la generarea aceluiasi hash al parolei folosita pe mai multe conturi.

In cazul lui Drupal 6, vulnerabilitatea poate fi exploatata daca administratorii unui site creaza mai multe conturi de utilizator cu aceeasi parola, sau in cazul in care campul parolei din baza de date este gol.

A doua vulnerabilitate eliminata permitea hackerilor sa creeze un URL care redirectiona utilizatorii catre un website tert.

La ora actuala exista peste 1,1 milioane de site-uri care folosesc Drupal, iar versiunea 7 este cea mai populara, fiind folosita de aproximativ 983.000 de site-uri.

Clientii megahost.ro care folosesc platforma Drupal sunt sfatuiti sa faca update la ultima versiune stabila cat mai curand posibil.

Leave a Reply

Your email address will not be published. Required fields are marked *