Drupal. .中的错误’更新过程可能会导致回溯更新,网站妥协

Drupal. ..’Soactive Carchener Fernando Arnaboldi说,更新过程深感缺陷。

他最近发现了三个独立的缺陷,其中最糟糕的是,攻击者可以利用攻击者,以便使用返回的一体化的流行CMS或其模块的合法更新,导致总安装(和网站)妥协。

你问过这怎么办吗?它’S非常简单:Drupal Security更新已转移未加密,并未检查真实性。

“The update process downloads a plaintext version of an XML file at http://updates.drupal.org/release-history/drupal/7.x and checks to see if it is the latest version. This XML document can point to a backdoored version of Drupal,” Arnaboldi 指出 .

涉及模块更新时可以执行类似的攻击。

“要利用未加密的更新,攻击者必须适当地定位于受害者的窃听’■网络流量。当客户端通过不安全的连接(例如公共WiFi)与服务器通信时,通常会发生这种情况,例如与受妥协的计算机共享的公司或家庭网络,” he explained.

另外两个缺陷如下:

1)当Drupal更新过程失败时,例如由于连接问题,Drupal不会告诉用户存在问题并且更新尚未安装。相反,它将完成完整的相反,并为用户提供错误的安全感:

 Drupal. .. message

2)用户还可以使用链接说明“Check Manually”如果他们想检查更新吗?(如上所述所示)。由于此功能中的漏洞,攻击者可以执行CSRF攻击,以强制管理员在决定时检查更新(即,当它们已准备好在服务器的更新版本的上述版本时)。

根据Arnaboldi的说法,此漏洞也可以用作对针对Drupal.org的服务器端请求伪造(SSRF)攻击。“管理员可能不愿意强制他们的服务器从Update.Drupal.org获取无限量的信息来消耗网络带宽,” he noted.

除此之外,除此之外,最后一个错误会影响两个最新的Drupal版本(7和8),以及它’由开发人员来解决它们。与此同时,用户可以通过手动下载和安装Drupal和附加组件的更新来部分减轻前两个问题。

分享这个