Groźne luki w Drupalu
Właściciele portali wykorzystujących Drupala powinni pomyśleć o aktualizacji używanego oprogramowania. W ostatnim czasie w Sieci ukazało się bowiem sporo opisów dotyczących błędów, które pozwalają na omijanie zabezpieczeń dostępu do ustawień Drupala oraz samych danych zgromadzonych w tym CMS-ie.
Wydana już została nowa wersja (6.2), która eliminuje te groźne luki. Starsze wydania mogą stać się ofiarą takich ataków, jak Cross Site Scripting czy obchodzenie zabezpieczeń portalu. Najczęstszą przyczyną podatności jest brak odpowiedniej walidacji wartości parametrów przekazywanych do kodu PHP, które można wpisać w pasku adresu i formularzach.
Odpowiednia wartość przekazana do tpl.php pozwala dodać własny kod HTML, który może posłużyć do wykradnięcia identyfikatora sesji i przejęcia danych. Podobny efekt może wywołać wada kodu odpowiedzialnego za opcje filtrowania wyników przy wyszukiwaniu. Możliwe jest też naruszenie bezpieczeństwa filtrów poprzez wprowadzenie jako szukanych wartości odpowiednio zmodyfikowanych ciągów, które zapisano w formacie UTF-8.
Błąd w module Simple Access (Drupal Simple Access Module 5.x) umożliwia wykradanie prywatnych informacji zapisanych w profilach portalu.
W wersjach Drupal 6 starszych niż 6.2 dzięki luce w module odpowiedzialnym za menu portalu możliwe jest również modyfikowanie profili innych użytkowników (a także ich blogów i trackerów). Luka ta umożliwia bowiem dostęp do wybranych stron bez posiadania niezbędnych uprawnień.
Wiele z tych podatności na atak zależy od konfiguracji php.ini – działają one tylko przy włączonej opcji register_globals.
Najlepszym rozwiązaniem problemu jest aktualizacja Drupala do wersji 6.2. Kod można pobrać ze strony projektu.
źródło: infoprof.pl
Warto przeczytać
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
Nazwa padła ofiarą szantażystów, inni polscy hosterzy też zagrożeni?
22
Darmowy Internet od Aero2. Jak go zdobyć i jakie są prawdziwe koszta? Instrukcja krok po kroku
11
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
17
Premiera Diablo 3 wzbudziła dyskusję na temat gier, które zawsze chcą być online
19
Nowy problem z Windows 8: bootuje się za szybko
10
Amerykańscy rodzice straszeni „e-narkotykami” dostępnymi w Sieci
21
Anonymous upubliczniają 1,7 GB danych wykradzionych Departamentowi Sprawiedliwości USA
12
Blueseed: libertariańska sztuczna wyspa przyciągnęła już ponad sto startupów z całego świata
8
Rewolucja w Firefoksie, nowa łatka czterokrotnie ograniczyła zużycie pamięci
20
-
Darmowy Internet od Aero2. Jak go zdobyć i jakie są prawdziwe koszta? Instrukcja krok po kroku
11
CVDazzle: makijaż jest w stanie pokonać automatyczne systemy ulicznego monitoringu
3
-
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
17
Ubuntu 12.04 LTS już dostępny: stabilna dystrybucja na następne pięć lat?
28
Zostań webmasterem polskiego rządu, zarobisz na komfortowe życie dla siebie i swojej rodziny
33
Społeczność
xyz @bartez® : Uważasz, że Apple nie ogranicza programistów? buahahaha-
anga star za droga ludzie wy myślicie!?Jestem 4 klasistką rodzice się nigdy nie...
-
Jan Zwyczajnych filmów tak kręcić się nie da co najwyżej krótkie scenki jak w...
-
piotrek____ @asdfgh - yup, też tak sądzę.
Tak jak wtedy ten przeciek o żołnierzu...
-
gonzales Javowcy pozdrawiają dotnetowców xD
-
kaziks Galaxy S II - u mnie po aktualizacji Firefox działa strasznie zacina się...
-
Doniek Szkoda że strona z demo nie działa - non stop się przeładowuje
- Najdmen.pl: Konta www z wyłączonym licznikiem transferu od IONIC.pl (1)
- 2BE.PL: [Oferta] Promocja jak złoto w 2BE.PL (1)
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
Polecane książki
Praca
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |