Drupal lança alterações no núcleo do CMS para remenda várias vulnerabilidades

O Drupal, é um sistema de gerenciamento de conteúdo de código aberto muito popular na internet, recentemente lançou atualizações de segurança para solucionar diversas vulnerabilidades “moderadamente crítica” no núcleo do Drupal que poderia permitir que atacantes remotos para compromete-se a segurança de centenas de milhares de sites.

De acordo com os avisos publicados hoje pelos desenvolvedores Drupal, todas as vulnerabilidades de segurança do Drupal foram corrigidas. Atualmente as correções residem em bibliotecas de terceiros que estão incluídos no Drupal 8.6, Drupal 8.5 ou anterior e Drupal 7.

Uma das falhas de segurança é um cross-site scripting (XSS) vulnerabilidade que reside em um plug-in de terceiros, chamada JQuery, a biblioteca mais popular JavaScript que está sendo usado por milhões de sites e também vem pré-integrado no Drupal core.

Na semana passada, JQuery lançou seu mais recente versão do jQuery 3.4.0 para corrigir a vulnerabilidade relatada, que ainda não tenha atribuído um número CVE, que afeta todas as versões anteriores da biblioteca para essa data.

“jQuery 3.4.0 inclui uma correção para um comportamento não intencional quando se utiliza jQuery.extend (true, {}, …). Se um objeto de origem unsanitized continha uma propriedade proto enumeráveis, que poderia estender o Object.prototype nativa”, o consultivo explica.

“É possível que esta vulnerabilidade pode ser explorada com alguns módulos do Drupal.”

O resto três vulnerabilidades de segurança residem em componentes Symfony PHP usados pelo Drupal núcleo que podem resultar em cross-site scripting (CVE-2019-10909), a execução remota de código (CVE-2019-10910) e de desvio de autenticação (CVE-2019-1091) ataques.

Considerando a popularidade de exploits Drupal entre hackers, você é altamente recomendado para instalar a atualização mais recente do CMS o mais rápido possível:

  • Se você estiver usando Drupal 8.6, atualizar para o Drupal 8.6.15.
  • Se você estiver usando Drupal 8.5 ou anterior, atualizar para o Drupal 8.5.15.
  • Se você estiver usando Drupal 7, atualizar para o Drupal 7,66.

Quase dois meses atrás, mantenedores Drupal corrigiram uma vulnerabilidade RCE crítica em Drupal núcleo sem liberar quaisquer detalhes técnicos da falha que poderia ter permitido que atacantes remotos para hackear o site de seus clientes.

Mas, apesar disso, a prova de conceito (PoC) código de exploração para a vulnerabilidade foi disponibilizada publicamente na Internet apenas dois dias depois que a equipe lançou a versão corrigida do seu software.

E então, vários indivíduos e grupos de hackers começou explorando ativamente a falha para instalar mineiros criptomoeda em sites vulneráveis Drupal que não atualizar seus CMSes para a versão mais recente.

No ano passado, os atacantes também alvo de centenas de milhares de sites Drupal em ataques em massa usando nos exploits selvagens alavancando duas vulnerabilidades de execução remota de código críticos separadas, que foram apelidados Drupalgeddon2 e Drupalgeddon3 .

Nesses casos, bem como, os ataques começaram pouco depois PoC código de exploração para ambas as vulnerabilidades foi publicado na Internet, que foi então seguido de grande escala de digitalização Internet e exploração tentativas.

E Você, o que achou dos novos lançamentos Druapl? Comente abaixo para sabermos qual foi a sua experiência.

E Não deixe de visitar: https://www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você!

Author: Lucas Alves

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.