کشف آسیبپذیری حیاتی از نوع RCE در سامانه مدیریت محتوای دروپال!
توسعهدهندگان سیستم مدیریت محتوای دروپال _یک سیستم مدیریت محتوای محبوب متنباز که میلیونها وب سایت از آن استفاده میکنند_ آخرین نسخه نرمافزار خود را به منظور وصله نمودن یک آسیبپذیری حیاتی منتشر نمودند. این آسیبپذیری امکان هک از راه دور سایت را برای مهاجمان فراهم مینماید.
این بهروزرسانی دو روز پس از هشدار تیم امنیتی دروپال به مدیران سایتهای دروپالی، مبنی بر اعمال وصلهها و بهروزرسانی نرمافزار، به منظور جلوگیری از سوءاستفاده هکرها از حفرههای امنیتی منتشر گردید.
با توجه به اظهارات تیم امنیتی دروپال، آسیبپذیری مورد نظر یک نقص مهم در هسته دروپال است که اجرای کد از راهدور (RCE) را موجب شده و در برخی موارد میتواند منجر به اجرای کد دلخواه PHP شود.
با اینکه که تیم امنیتی دروپال هیچ جزئیات فنی از این آسیبپذیری (باشناسه CVE-2019-6340) منتشر ننموده است، اما لازم به ذکر است که این نقص در واقع به دلیل عملکرد نامناسب داده برای نوع دادهی فیلدها از منابع غیررسمی میباشد، که هستههای دروپال ۷ و ۸ را تحت تأثیر قرار داده است.
البته لازم به ذکر است که سایت دروپالی شما تنها در صورتی در معرض خطر این آسیبپذیری قرار میگیرد که ماژول RESTful Web Services فعال باشد، و اجازه درخواست POST یا PATCH را داشته باشد، و یا اینکه ماژول وبسرویس دیگری بر روی آن فعال شده باشد.
اگر شما در حال حاضر قادر به نصب آخرین بهروزرسانی نیستید، میتوانید موقتاً اثرات این آسیبپذیری را بهراحتی با غیرفعال کردن تمام ماژولهای سرویسهای وب، و یا پیکربندی وب سرور خود به منظور عدم پذیرش درخواستهای PUT / PATCH / POST به منابع سرویسهای وب، کاهش دهید.
دروپال در گزارش امنیتی خود که روز چهارشنبه منتشر شد، هشدار داد که "باید توجه داشته باشید که منابع سرویسهای وب بسته به پیکربندی سرور شما ممکن است در مسیرهای مختلف در دسترس باشند، حتماً زمان انجام اقدامات امنیتی جهت مصون ماندن از خطرات آسیبپذیری مذکور، این نکته را را مد نظر داشته باشید."
به عنوان مثال، برای دروپال ۷ معمولاً منابع از طریق مسیرهای "clean URLs" و از طریق آرگومان پرس و جوی "q" در دسترس هستند، و برای دروپال ۸، ممکن است مسیرها هنوز با index.php کار کنند."
با این حال، با توجه به محبوبیت دروپال در میان هکرها و علاقه به سوءاستفاده از آسیبپذیریهای آن، اکیداً توصیه میگردد که آخرین نسخه بهروزرسانی را نصب نمایید:
• اگر از نسخه ۸.۶.x دروپال استفاده میکنید، وبسایت خود را به دروپال نسخه ۸.۶.۱۰ ارتقاء دهید.
• اگر از نسخه ۸.۵.x دروپال یا نسخههای قبل از آن استفاده میکنید، وبسایت خود را به دروپال نسخه ۸.۵.۱۱ ارتقاء دهید.
دروپال همچنین اذعان داشته که ماژول سرویسهای دروپال نسخه ۷ به خودیِ خود در این لحظه نیاز به بهروزرسانی ندارند، اما کاربران باید در نظر داشته باشند که در صورت استفاده ازسرویسها باید بهروزرسانیهای مربوطه را اعمال نمایند.
منبع خبر: https://thehackernews.com/2019/02/hacking-drupal-vulnerability.html