In urma raportarii de saptamana trecuta a mai multor vulnerabilitati din CMS-ul Drupal, dezvoltatorii software-ului au inceput sa lucreze la un patch pentru a remedia aceste probleme care afecteaza in special procesul de update.
Vulnerabilitatile raportate de catre compmania de securitate IOActive afecteaza versiunile Drupal 7 si 8, care informeaza in mod eronat utilizatorii ca versiunea de Drupal folosita este cu update-urile la zi, chiar daca nu este asa.
O alta vulnerabilitate identificata este una de tip cross-site request forgery (CSRF), care poate fi exploatata pentru a folosi o cantitate mare de resurse de pe serverele Drupal.org, printr-un atac de tip server-side request forgery (SSRF).
De asememnea, s-a constatat si ca update-urile pentru Drupal sunt descarcate necriptat, iar legitimitatea lor nu este verificata. Aceasta problema permite unui atacator sa intercepteze conexiunea si sa ofere pentru download o versiune malware de Drupal. Astfel, s-ar putea compromite site-ul vizat.
Dezvoltatorii Drupal au spus ca vulnerabilitatea CSRF ar putea reprezenta un risc grav de securitate doar daca atacatorul este capabil sa intercepteze traficul. In ceea ce priveste consumul de resurse de pe serverele Drupal.org, un atacator nu ar putea cauza prejudicii semnificative, avand in vedere ca exista milioane de website-uri care trimit multiple cereri in fiecare zi catre Drupal.org. In plus, Drupal a subliniat ca serviciul de update foloseste un sistem de caching si sta in spatele unei retele de livrare de continut (CDN).
Despre problema transferului necriptat de fisiere, dezvoltatorul spune ca a inceput deja sa mute intreaga infrastructura si procesele de update pe conexiuni securizate. Pana cand toate canalele de download sunt securizate, utilizatorii pot descarca ultimele update-uri prin conexiuni securizate, de pe pagina oficiala.
Sursa foto