Groźne luki w Drupalu
Właściciele portali wykorzystujących Drupala powinni pomyśleć o aktualizacji używanego oprogramowania. W ostatnim czasie w Sieci ukazało się bowiem sporo opisów dotyczących błędów, które pozwalają na omijanie zabezpieczeń dostępu do ustawień Drupala oraz samych danych zgromadzonych w tym CMS-ie.
Wydana już została nowa wersja (6.2), która eliminuje te groźne luki. Starsze wydania mogą stać się ofiarą takich ataków, jak Cross Site Scripting czy obchodzenie zabezpieczeń portalu. Najczęstszą przyczyną podatności jest brak odpowiedniej walidacji wartości parametrów przekazywanych do kodu PHP, które można wpisać w pasku adresu i formularzach.
Odpowiednia wartość przekazana do tpl.php pozwala dodać własny kod HTML, który może posłużyć do wykradnięcia identyfikatora sesji i przejęcia danych. Podobny efekt może wywołać wada kodu odpowiedzialnego za opcje filtrowania wyników przy wyszukiwaniu. Możliwe jest też naruszenie bezpieczeństwa filtrów poprzez wprowadzenie jako szukanych wartości odpowiednio zmodyfikowanych ciągów, które zapisano w formacie UTF-8.
Błąd w module Simple Access (Drupal Simple Access Module 5.x) umożliwia wykradanie prywatnych informacji zapisanych w profilach portalu.
W wersjach Drupal 6 starszych niż 6.2 dzięki luce w module odpowiedzialnym za menu portalu możliwe jest również modyfikowanie profili innych użytkowników (a także ich blogów i trackerów). Luka ta umożliwia bowiem dostęp do wybranych stron bez posiadania niezbędnych uprawnień.
Wiele z tych podatności na atak zależy od konfiguracji php.ini – działają one tylko przy włączonej opcji register_globals.
Najlepszym rozwiązaniem problemu jest aktualizacja Drupala do wersji 6.2. Kod można pobrać ze strony projektu.
źródło: infoprof.pl
Polecamy
Warto przeczytać
Reklama
Komentarze
Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka
(słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.
Popularne
Firefox 10 już jest. Wiele atrakcji dla programistów, użytkownicy raczej nic nie zauważą
9
Źle się dzieje z Chrome, ze stabilnością coraz gorzej. Gdzie się podziała słynna izolacja procesów?
26
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
89
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1455
Debata w sprawie ACTA: internauci spodziewali się chyba czegoś innego
13
Nowa polityka prywatności Google'a już za miesiąc wejdzie w życie. Mamy się czego bać?
16
PHP 5.3.9 nie pozwoli hakerom zawiesić serwera. Pozwoli za to przejąć nad nim kontrolę
28
-
MSWiA zamówiło narzędzia do „złamania” Tora i podsłuchiwania internautów. Czy złamało przy tym prawo?
89
![[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?](/files/groups/editors/internet/2011_11/demotywatory-30x22.jpg)
[Aktualizacja] Facebook zablokował Demotywatory.pl. W czym zawiniły?
36
FBI zamknęło Megaupload. Anonimowi dali się sprowokować. Teraz ich akcja uzasadni potrzebę SOPA?
17
-
Pobieraczek.pl pozwie internautów, którzy nie chcą płacić abonamentu
1455
Programowanie w środowisku Android – wprowadzenie do projektowania aplikacji dla urządzeń mobilnych
15
Rząd Tuska zablokował dostęp do tańszych leków z internetowych aptek
61
„Donald matole, twój rząd dopadną kibole” – hakerska elita przyłącza się do walki z ACTA
23
Społeczność
dominicue "Tam porozmawia sobie z żywym człowiekiem, z żywym człowiekiem podpisze...-
WebDev Z tego wynika, że zmienią się tylko serwery z którymi przeglądarka łączy...
agilob Ale folder bez nazwy się da założyć :P-
zetesha Apple nie zrezygnował z PPC całkiem ponieważ posiada P.A. Semi, która to...
-
pablo1919191 Thunderbolt to jest technolgia intela wiec skora appel wpakowal jako...
-
BartekBb Już wiem skąd kopiujecie artykuły, bo zrobiliście ten sam błąd co na...
-
Marr moglibyście się zdecydować. W newsach podajecie, że systemy wymiany (czyli...
- gardius: Dobra hurtownia sportowa (1)
- gardius: Tanie książki gdzie warto kupować? (1)
- Najdmen.pl: PROMOCJA, 500 DOMEN .EU ZA 1 PLN NETTO ! (1)
- VMLine: [Oferta] Serwery VPS Xen-HVM/OpenVZ z darmową administracją (2)
- Marek: Generowanie PDFa (2)
- Marek: problem z menu (2)
- Marek: Własne checkboxy w HTML,CSS (1)
Polecane książki
Praca
Czytaj Webhosting
Chcesz być na bieżąco z naszymi informacjami? Zapisz się na Newsletter.
Śledź nas: 
Zarejestruj domenę
Sprawdź dostępność swojej domeny:
| .pl: | 0 zł | .com: | 19.90 zł | |
|---|---|---|---|---|
| .com.pl: | 0 zł | .eu: | 19.90 zł |