You are here
Home > Novosti > Drupal ponovno ranjiv zbog funkcionalnosti Symfony

Drupal ponovno ranjiv zbog funkcionalnosti Symfony

Datum objave novosti2018-08-03

Drupal, popularno CMS rješenje otvorenog koda, dobilo je novu inačicu ovog mjeseca kojom će se zakrpati ranjivost koja je dopuštala napadaču preuzimanje kontrole nad pogođenom stranicom.

 

Ranjivost, pod oznakom CVE-2018-14773, dio je Symfony HttpFoundation component funkcionalnosti, koja se koristi u jezgri Drupala te pogađa sve inačice 8. generacije prije inačice 8.5.6.

 

Symfony se koristi na mnogo različitih načina te bi ova ranjivost mogla prouzrokovati značajne poteškoće za veliki broj aplikacija.

 

Tvrtka Symfony, prema nedavnoj izjavi, smatra kako je ranjivost vezana uz njihovu podršku za starija te http zaglavlja.

 

Udaljeni napad može biti izvršen koristeći posebnu ‘X-Original-URL’ ili ‘X-Rewrite-URL” vrijednost u zaglavlju koja mijenja putanju u zatraženoj URL adresi kako bi zaobišla zaštitu te prouzrokovala promjenu adrese u ciljanom sustavu.

 

Ranjivost je otklonjena u Symfony inačicama 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, i 4.1.3, a Drupal je izdao nadogradnju u verziji 8.5.6.

 

Uz Symfony, stručnjaci iz Drupala su sličnu ranjivost otkrili u funkcionalnostima Zend Feed i Diactoros te su ju nazvali “URL Rewrite” ranjivost.

 

Međutim, iz Drupala uvjeravaju kako jezgra Drupala ne koristi ranjivu funkcionalnost, ali korisnicima koje sporne funkcionalnosti ipak koriste savjetuju nadogradnju.

 

Drupal koriste milijuni stranica, ali u posljednje se vrijeme sve češće spominje u kontekstu (ne)sigurnosti. Naime, nedavno je bio meta napada nakon što su objavljene informacije o kritičnoj ranjivosti Drupalgeddon2.

 

Iz tog razloga savjetujemo hitnu nadogradnju vaš stranice ako koristi Drupal.

Top