首页保安但是,Drupal更新过程包含多个错误!

但是,Drupal更新过程包含多个错误!

IOActive的Fernando Arnaboldi敲响了Drupal更新过程中的三个主要漏洞的警报,这些漏洞可能允许黑客通过更新包“毒化” Drupal的安装,甚至更糟的是控制服务器。

Drupal的
德鲁巴,前三的CMS互联网的一个并不像WordPress的和Joomla受欢迎,但用于制造大型,企业级和高度可定制的最喜欢的工具之一 网页.
就像现在任何现代CMS一样,Drupal可以通过其后端管理团队进行更新,只需按一下按钮即可。 为了使事情更适合于网页繁忙的管理员的工作中,CMS还配备了自动更新审计,既为核心,其组成人员的作品。 这允许他们 管理员 了解新版本何时可用,并允许他们快速应用更新包并继续处理其他更重要的事情。
根据Arnaboldi先生的说法,他处理这个问题有三个问题 Drupal的 此更新过程中,没有当前修复的缺陷。
第一个问题与更新失败的查询有关。 由于各种连接问题,Drupal网站有时可能无法检查更新。 问题是,发生这种情况时,CMS将显示消息“所有项目都是最新的”,而不是明确指出更新未能完成。
这个问题可以被黑客用来当更新过程发生,导致CMS来打印在后台一个错误的更新状态压倒当地的交通网络。
在不那么偏执的场景中,问题本身可能会欺骗其经理 Drupal的 相信他的网站是最新的,同时实际上仍然容易受到许多危险的错误的影响,这些错误可能会在CMS不及时更新时快速繁殖。
打印相应的更新状态消息失败会影响Drupal,7.x和8.x的主要版本。
Arnaboldi先生描述的第二个问题与DrupaI信息页面上的“手动控制”按钮有关。 该按钮允许站点管理员检查新更新并在以后应用更新。
不幸的是,这个特定的按钮很容易受到CSRF(跨站点请求伪造)攻击。
“由于“手动控制”功能中存在CSRF漏洞,因此可以将其用作针对drupal.org的服务器端请求伪造(SSRF)攻击,” Arnaboldi解释说。 “管理员可以勉强地迫使其服务器从update.drupal.org请求无限量的信息以消耗网络带宽。”
只有 Drupal的 6.x和7.x版本的版本会受到影响。 Drupal 8.x的自动更新是CSRF无错误的。

但如果你认为他们真正能做到的话,这两个错误并不是那么危险。 另一方面,第三个缺点更为关键,与信息处理的事实有关 Drupal的 没有加密。
通过以纯文本形式发送所有内容,本地网络上的攻击者作为受感染的计算机可以监视Drupal CMS与drupal.org服务器之间的通信并检测更新过程何时开始。
然后,它可以发起简单的MitM(中间人)攻击,伪造通信并将恶意更新发送到CMS。 此攻击情形也适用于其内核的基本版本 德鲁巴 以及它所包含的模块的软件包版本。

但是,Drupal更新过程包含多个错误!
利用这第三个漏洞,Arnaboldi先生成功地在网站测试中安装了一个后门Drupal更新,他对此进行了改编。 反向PHP shell 这使他可以访问运行CMS的Web服务器,然后导出MySQL数据库用户密码和密码。

MySQL的
最糟糕的是他的团队 德鲁巴 从阿纳博尔迪最近的调查结果来看,2012已经意识到了这个问题,但最近才重新讨论了这个问题。

更新:目前,直至德鲁巴开发商将设法纠正这些问题,Arnaboldi先生建议所有设施手动进行(“手动”,即下载从本地更新包drupal.org计算机,解压缩文件,并通过FTP将它们移动到Web服务器)。

spot_img

实时新闻