Zbog ranjivosti Symfony, neophodna nadogradnja Drupal-a


Drupal, popularno CMS rešenje otvorenog koda, dobilo je novu verziju ovog meseca kojom će se zakrpiti ranjivost koja je dopuštala napadaču preuzimanje kontrole nad pogođenom stranicom.

Ranjivost, pod oznakom CVE-2018-14773, deo je Symfony HttpFoundation component funkcionalnosti, koja se koristi u jezgru Drupal-a te pogađa sve verzije 8. generacije pre verzije 8.5.6.

Symfony se koristi na mnogo različitih načina te bi ova ranjivost mogla prouzrokovati značajne poteškoće za veliki broj aplikacija.

Kompanija Symfony, prema nedavnoj izjavi, smatra kako je ranjivost vezana uz njihovu podršku za starija te http zaglavlja.

Udaljeni napad može biti izvršen koristeći posebnu X-Original-URL ili X-Rewrite-URL vrednost u zaglavlju koja menja putanju u zatraženoj URL adresi kako bi zaobišla zaštitu te prouzrokovala promenu adrese u ciljanom sistemu.

Ranjivost je otklonjena u Symfony verzijama 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, i 4.1.3, a Drupal je izdao nadogradnju u verziji 8.5.6.

Uz Symfony, stručnjaci iz Drupala su sličnu ranjivost otkrili u funkcionalnostima Zend Feed i Diactoros te su je nazvali URL Rewrite ranjivost.

Međutim, iz Drupala uveravaju kako jezgro Drupala ne koristi ranjivu funkcionalnost, ali korisnicima koje sporne funkcionalnosti ipak koriste savetuju nadogradnju.

Drupal koriste milioni stranica, ali u poslednje vreme se sve češće spominje u kontekstu (ne)bezbednosti. Naime, nedavno je bio meta napada nakon što su objavljene informacije o kritičnoj ranjivosti Drupalgeddon2.

Podeli
Pošalji
Podeli
Podeli
Pošalji
Pošalji

Komentariši! Budi prvi i započni diskusiju!
Broj komentara:
0

Postavi komentar

Vaš komentar:

 
Početna      Impressum      Pravila komentarisanja      Marketing      Kontakt
 

 
© 2009-2018 IT vesti - Sva prava zadržana. Zabranjeno je svako kopiranje sadržaja sajta bez pismene dozvole.