Критична Drupal уязвимост: Какво трябва да знаете? (актуализирана)

Критична Drupal уязвимост: Какво трябва да знаете? (актуализирана)

На 28 март от Drupal известиха всички свои потребители за уязвимост в системата със статус „Highly Critical” – възможно най-високия рейтинг в тяхната система за оценяване на сигурността. Видът на уязвимостта е неудостоверен Remote Code Execution, което означава, че да се възползват от нея не е нужнo удостоверяване, а само да се посети страница със злономаренo създаден URL адрес. Drupal е една от водещите системи за управление на съдържанието, като в момента има над 1 300 000 активни сайта създадени през платформата, което означава, че 9% от сайтовете, които са създадени чрез една от популярните CMS платформи, са засегнати.

Уязвимостта, която можете да срещнете и като CVE-2108-7600, е засегнала голяма част от Drupal 6.x, 7.x и 8.x сайтове и дава възможност за Remote Code Execution, което позволява на анонимни потребители да поемат контрола върху всеки Drupal сайт, който е с версия преди 8.5.1 / 8.4.9 / 8.3.8 / 7.58. Също всички данни, които не са публични, са леснодостъпни и могат да бъдат променяни или директно изтрити.

19.04.18: За втори път в рамките на месец, специалистите от Drupal уведомяват своите потребители за присъствието на уязвимост в системата. Проблемът е cross-site scripting (XSS) и се корени в плъгина CKEditor, който e предварително интегриран в системата, за да улесни създаването на интерактивно съдържание. Специалистите на Drupal съветват да актуализирате версията на плъгина, както и версията на сайта си, за да се предпазите от подобни кибератаки!

За да се защитите срещу тези уязвимости е добре да актуализирате версията на сайта си до Drupal 7 или 8.

  • Ако ползвате Drupal 7.x, актуализирайте до Drupal 7.58. (ако не е възможно да актуализирате версията, може опитате този patch, за да поправите проблема, докато не успеете да завършите актуализацията.)

  • Ако ползвате Drupal 8.5.х, актуализирайте до Drupal 8.5.1. (ако не е възможно да актуализирате версията, може опитате този patch, за да поправите проблема, докато не успеете да завършите актуализацията.)

По принцип, за по-старите версии като Drupal 8.3.x и 8.4.x, тъй като вече не се поддържат, от Drupal не предлагат решения на такъв тип проблеми. Имайки предвид сериозността на уязвимостта пуснахa съобщение за сигурност, където ще можете да откриете как да се справите със ситуацията.

Ако използвате Drupal 8.3.x и 8.4.x, отделете време да инсталирате следните пачове:

  • Ако използвате 8.3.х, актуализирайте до Drupal 8.3.9, използвайки този patch.
  • Ако използвате 8.4.х, актуализирайте до Drupal 8.4.6, използвайки този patch.

За да се предпазите от бъдещи уязвимости, нашите Friendly Geeks специалисти, както и от Drupal, съветват своевременно да обновите своята версия на сайта. За момента това е най-сигурният начин да се предпазите от CVE-2108-7600, като е добре да го превърнете в практика да използвате най-новата Drupal версия.

Ние от ICN.Bg имаме за цел винаги да предоставяме иновативни решения в сферата на уеб сигурността, ето защо непрекъснато внедряваме нови технологии и създаваме наши IT решения, с които да повишим защитата на сайтовете на клиентите си. За да направите вашата Drupal инсталация или друга CMS система още по-подсигурени, ние имплементирахме специализирано оборудване, защитаващо от DDoS атаки, създадохме ActiveAuth приложението, което предпазва формите за вход и се стремим винаги да сме в крак с интернет заплахите и да предложим навременни решения за справяне с уязвимостите.

  • AcitveAuth е приложение за двустъпкова идентификация (Two-factor authentication), което от ICN.Bg разработихме за нашите клиенти. Иновативното приложение ще подобри сигурността на вашия сайт, като добави допълнителен слой на защита към вашите log-in форми. Повече информация за ActiveAuth можете да откриете тук.

  • Radware Defense Pro – DoS и DdoS атаките представляват голяма заплаха за сайтовете днес. Затова предоставяме на нашите потребители специализирания хардуер Radware Defense Pro, който съчетава в себе си адаптивна поведенческо-анализираща технология с високо производителен специализиран хардуер. Той помага в превенцията срещу препълване на канала за свързаност, DDoS атаки, IoT устройства, атаки към логин страници, атаки зад CDN и SSL-базирани flood.

Повече за това как да предпазите своя сайт може да откриете в статията ни „Как най-ефикасно да защитите вашия уебсайт?“

Актуализирайте версията на своя Drupal сайт редовно и се възползвайте от нашите предложение, за да намалите възможността да сте потърпевш от бъдещи уязвимости.

Етикети: #drupal #vulnerability #уязвимост #сигурност #security #hosting #хостинг #activeauth #update #актуализация