به‌روزرسانی

وصله آسیب‌پذیری‌های دروپال در به‌روزرسانی‌های جدید

توسعه‌دهندگان دروپال برای رفع چندین آسیب‌پذیری مهم و بحرانی در هسته خود وصله های امنیتی را در قالب به‌روزرسانی‌هایی منتشر کرده است. سوءاستفاده از این آسیب‌پذیری‌ها به مهاجمان این اجازه را می‌دهد تا امنیت وب‌سایت‌‌های مبتنی بر دروپال را به خطر بیندازند.

با توجه به گفته توسعه‌دهندگان دروپال، تمام آسیب‌پذیری‌های امنیتی در ماه جاری در کتابخانه‌های شخص ثالث قرار دارند که در دروپال ۸.۶، دروپال ۸.۵ و یا پایین‌تر و دروپال نسخه ۷ قرار دارند.

یکی از این موارد آسیب‌پذیری XSS است که در کتابخانه JQuery، محبوب‌ترین کتابخانه جاوا اسکریپت است که توسط میلیون‌ها وب‌سایت استفاده می‌شود و در دروپال استفاده می‌شود. البته چند روز پیش که نسخه ۳.۴.۰ از کتابخانه JQuery ارائه شد این آسیب‌پذیری رفع شده است.

سه آسیب‌پذیری امنیتی در فریم‌ورک PHP Symfony وجود دارد که توسط هسته دروپال استفاده می‌شوند. این آسیب‌پذیری‌ها به مهاجم اجازه حملات XSS (CVE-2019-10909)، اجرای کد از راه دور (CVE-2019-10910) و دور زدن احراز هویت (CVE-2019-1091) را می‌دهد.

با توجه محبوبیت سوءاستفاده از دروپال در میان هکرها، توصیه می‌شود که آخرین وصله های امنیتی سیستم مدیریت محتوا دروپال اعمال شود:

  • چنانچه از دروپال ۸.۶ استفاده می‌کنید، به Drupal 8.6.15 به‌روزرسانی کنید.
  • چنانچه از دروپال ۸.۵ یا قبل از آن استفاده می‌کنید، به دروپال ۸.۵.۱۵ به‌روزرسانی کنید.
  • و اگر از دروپال ۷ استفاده می‌کنید، به دروپال ۷.۶۶ به‌روزرسانی کنید.

مطالب مرتبط:
جایزه برای باگ یابی امنیتی نرم‌افزارهای متن‌باز
دروپال وصله جدیدی برای چندین باگ مهم منتشر کرد
آلودگی بزرگ localstorage[.]tk از طریق Drupal

منبع: The Hacker News

وصله آسیب‌پذیری‌های دروپال در به‌روزرسانی‌های جدید

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top