Ładowanie Ładowanie

News: > Groźne luki w Drupalu

wydrukuj: print publikuj: wykop dodaj do flakera Dodaj jako nius na OSnews.pl! delicious

Groźne luki w Drupalu

2008-04-21 06:56:01 | Adam Golański
Groźne luki w Drupalu

Właściciele portali wykorzystujących Drupala powinni pomyśleć o aktualizacji używanego oprogramowania. W ostatnim czasie w Sieci ukazało się bowiem sporo opisów dotyczących błędów, które pozwalają na omijanie zabezpieczeń dostępu do ustawień Drupala oraz samych danych zgromadzonych w tym CMS-ie.

Wydana już została nowa wersja (6.2), która eliminuje te groźne luki. Starsze wydania mogą stać się ofiarą takich ataków, jak Cross Site Scripting czy obchodzenie zabezpieczeń portalu. Najczęstszą przyczyną podatności jest brak odpowiedniej walidacji wartości parametrów przekazywanych do kodu PHP, które można wpisać w pasku adresu i formularzach.

Odpowiednia wartość przekazana do tpl.php pozwala dodać własny kod HTML, który może posłużyć do wykradnięcia identyfikatora sesji i przejęcia danych. Podobny efekt może wywołać wada kodu odpowiedzialnego za opcje filtrowania wyników przy wyszukiwaniu. Możliwe jest też naruszenie bezpieczeństwa filtrów poprzez wprowadzenie jako szukanych wartości odpowiednio zmodyfikowanych ciągów, które zapisano w formacie UTF-8.

Błąd w module Simple Access (Drupal Simple Access Module 5.x) umożliwia wykradanie prywatnych informacji zapisanych w profilach portalu.

W wersjach Drupal 6 starszych niż 6.2 dzięki luce w module odpowiedzialnym za menu portalu możliwe jest również modyfikowanie profili innych użytkowników (a także ich blogów i trackerów). Luka ta umożliwia bowiem dostęp do wybranych stron bez posiadania niezbędnych uprawnień.

Wiele z tych podatności na atak zależy od konfiguracji php.ini – działają one tylko przy włączonej opcji register_globals.

Najlepszym rozwiązaniem problemu jest aktualizacja Drupala do wersji 6.2. Kod można pobrać ze strony projektu.

źródło: infoprof.pl

Najnowsze wiadomości

reklama

wydrukuj: print publikuj: wykop dodaj do flakera Dodaj jako nius na OSnews.pl! delicious

Czytaj webhosting.pl:

Dyskusja

dodaj komentarz
comnt Ten artykuł nie został jeszcze skomentowany. Bądź pierwszy!

Komentarze

  • Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
  • Jeśli masz problemy z odczytaniem słów, zmień zdjęcie.
  • Używamy tego zabezpieczenia, ponieważ dzięki niemu rozwija się projekt reCAPTCHA. Sugerujemy jednak, by zarejestrować się w serwisie i w ten sposób ominąć konieczność ciągłego odczytywania wyrazów.
  • W treści komentarza można używać języka formatowania BBcode.