Понедельник, 25 января, 22:44
дома безопасность Drupal: обновления безопасности для борьбы с эксплойтами

Drupal: обновления безопасности для борьбы с эксплойтами

Разработчики системы управления контентом Drupal (CMS) были освобождены аварийные обновления безопасность из-за наличия некоторых эксплойтов, что может поставить под угрозу системы.

Друпальные эксплойты
Drupal: обновления безопасности для борьбы с эксплойтами

Основные обновления выпущенный для Drupal 7, 8.8, 8.9 и 9.0 25 ноября, сталкивается с двумя уязвимостями, которые влияют на PEAR Archive_Tar, сторонняя библиотека, предназначенная для обработки учет .tar в PHP.

Обновления исправляют два уязвимости названный CVE-2020-28948 и CVE-2020-28949.

Эксплуатация предполагает манипулирование именами файлов и может позволить злоумышленнику выполнить код PHP или перезаписать файлы, включая важные файлы, такие как / etc / passwd и / etc / shadow.

Исследователь, который упомянул уязвимости, опубликовано и экспериментальные эксплойты (PoC), Вот почему разработчики Drupal решили выпустить для них специальные обновления. пользователей, чтобы защитить их от возможных атака.

Согласно графику обновлений патч, выпущенный 25 ноября, не является базовым обновлением. Однако это было необходимо, потому что существуют известные эксплойты, которые делают определенные конфигурации Drupal уязвимыми для нападки.

Обновления безопасности
Drupal: обновления безопасности для борьбы с эксплойтами

Разработчики Drupal отметили, что эксплуатация возможна если CMS настроена на загрузку файлов .tar, .tar.gz, .bz2 или .tlz. В прошлом году были исправлены аналогичные уязвимости, относящиеся к той же библиотеке PEAR. Разработчики заявили, что текущие уязвимости не связаны с прошлым годом, хотя те же изменения конфигурации могут облегчить проблему. Один из советов, которые дают пользователям специалисты: запретить ненадежным пользователям скачивать архив с указанным выше расширения.

Это шестое обновление безопасность выпущен в этом году для Drupal CMS. Пятый патч также был выпущен в этом месяце, чтобы исправить одну уязвимость что позволило злоумышленнику выполнить код удаленно.

Источник: Security Week

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Цифровая Крепость
Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!

ЖИВЫЕ НОВОСТИ

00: 02: 40

Вакцины COVID-19: способы защиты цепочек поставок

Разработка вакцин против COVID-19 за такой короткий период времени создала множество проблем, и они связаны не только с ...
00: 02: 17

Как страховые компании «усиливают» атаки программ-вымогателей?

Число атак программ-вымогателей значительно возросло, и эксперты предупреждают, что их жертвы не должны платить выкуп хакерам ...

Россия: «США могут принять ответные меры против взлома SolarWinds»!

Правительство России предупреждает организации страны о возможных кибератаках, которые могут осуществить США, в качестве «возмездия» за взлом ...

iPhone: как узнать, какие приложения имеют доступ к вашим контактам

Некоторые проблемы с конфиденциальностью iPhone идут глубже, чем доступ к вашему списку контактов, который открывает ваши контакты ...

COVID-19: Google делает доступными клиники вакцинации

Генеральный директор Google Сундар Пичаи заявил в понедельник, что компания предоставит свои помещения для клиник ...

Netflix предлагает обновление звука "студийного качества" на Android

Не удивляйтесь, если Netflix будет звучать лучше в следующий раз, когда вы пробежите марафон с рядами на своем телефоне Android ...

Вернется ли биткойн к 40.000 долларов? Есть опасения!

Любители биткойнов, которые воспринимают его доход выше уровня 40.000 долларов как должное, были обеспокоены, потому что спрос ...

Программа-вымогатель Avaddon: ее операторы угрожают DDoS-атаками, чтобы получить выкуп!

В последнее время все больше и больше банд вымогателей стремятся угрожать своим целям DDoS-атаками, чтобы обеспечить себе прибыль ...

Волонтеров-пожарных обучат с помощью VR-симулятора

Волонтеры-пожарные в австралийском штате Виктория скоро получат доступ к обучению в виртуальной реальности (VR), которое будет доступно в ...

Тесла: Обвиняет свою бывшую сотрудницу в краже ее конфиденциальных данных!

23 января Tesla подала в суд на бывшего сотрудника Алекса Хатилова за кражу 26.000 конфиденциальных документов, включая коммерческую тайну. Программное обеспечение ...