یک نقص حیاتی دیگر در Drupal کشف شد، سایت خود را هر چه سریع‌تر به‌روزرسانی کنید.

توسعه‌دهندگان Drupal – یک نرم‌افزار محبوب سیستم مدیریت محتوای متن‌باز که میلیون‌ها وب‌سایت از آن استفاده می‌کنند، آخرین نسخه نرم‌افزار خود را برای رفع یک آسیب‌پذیری بحرانی منتشر کردند که می‌تواند به مهاجمان از راه دور اجازه دهد تا سایت شما را هک کنند.

این به‌روزرسانی دو روز پس‌ازآن اعلام شد که تیم امنیتی Drupal یک اعلامیه امنیتی پیشنهادی را در مورد وصله‌های در پیش رو منتشر کرد[۱] و مدیران وب‌سایت‌ها را آگاه ساخت که وب‌سایت‌های خود را تعمیر کنند پیش از آنکه هکرها از این خطا سوءاستفاده کنند.

تیم امنیتی Drupal دراین‌باره گفت: آسیب‌پذیری موردنظر یک نقص اجرای کد از راه دور (RCE) در هسته Drupal است که می‌تواند منجر به اجرای کد PHP در برخی از موارد شود.

درحالی‌که تیم Drupal هیچ جزئیات فنی در مورد این آسیب‌پذیری (CVE-2019-6340) منتشر نکرده است، و فقط ذکر کرده است که این نقص درواقع به دلیل این واقعیت است که برخی از انواع زمینه‌ها تجزیه اطلاعات از منابع nom-form را به‌درستی انجام نمی‌دهند و روی هسته Drupal نسخه ۷ و ۸ تأثیرگذار است.

همچنین لازم به ذکر است که وب‌سایت مبتنی بر Drupal شما تنها در صورتی فعال است که ماژولRESTful Web Services (rest) فعال باشد و اجازه درخواست PATCH یا POST را داشته باشد، یا یک ماژول خدمات وب دیگر را فعال کرده باشد.

اگر شما نمی‌توانید بلافاصله آخرین به‌روزرسانی را نصب کنید، می‌توانید این آسیب‌پذیری را به‌راحتی با غیرفعال کردن تمام ماژول‌های سرویس وب یا پیکربندی وب سرور (ها) خود برای عدم پذیرفتن درخواست‌های PUT/PATCH/POST به منابع خدمات وب، کاهش دهید.

Drupal در گزارش امنیتی خود که در روز چهارشنبه ۲۰ فوریه ۲۰۱۹ منتشر شد[۲] هشدار داد که: “توجه داشته باشید که منابع خدمات وب ممکن است در مسیرهای مختلف بسته به پیکربندی سرور (ها) شما در دسترس باشند.”

“برای Drupal نسخه ۷، منابع به‌عنوان‌مثال به‌طورمعمول از طریق مسیرها (URL های تمیز) و از طریق arguments به argument آرگومان “q” در دسترس هستند. برای Drupal نسخه ۸، مسیرها ممکن است با پیشوند index.php کار کنند.”

بااین‌حال، با توجه به محبوبیت بهره‌بردارهای Drupal در میان هکرها، به‌شدت توصیه می‌شود که آخرین نسخه را نصب کنید:

• اگر شما از Drupal نسخه ۸٫۶ استفاده می‌کنید، وب‌سایت خود را به Drupal نسخه ۸٫۶٫۱۰ ارتقا دهید.
• اگر شما از Drupal نسخه ۸٫۵ یا قبل از آن استفاده می‌کنید، وب‌سایت خود را به Drupal نسخه ۸٫۵٫۱۱ ارتقا دهید.

Drupal همچنین گفت که ماژول خدمات نسخه ۷ از Drupal در این لحظه نیازی به به‌روزرسانی ندارد، اما کاربران هنوز هم باید اجرای سایر به‌روزرسانی‌های مرتبط با آخرین گزارش امنیتی منتشرشده درصورتی‌که از “خدمات” استفاده می‌کنند را در نظر گیرند.

Drupal از Samuel Mortenson از تیم امنیتی خود برای شناسایی و گزارش این آسیب‌پذیری تشکر کرد.

منابع

[۱] https://www.drupal.org/psa-2019-02-19

[۲] https://www.drupal.org/sa-core-2019-003

[۳] https://thehackernews.com/2019/02/hacking-drupal-vulnerability.html