SIMonline

Сервис приема & отправки SMS

Уязвимость Drupal делает возможным удаленное выполнение кода

1653   |     /   Security

Уязвимость Drupal делает возможным удаленное выполнение кода
Обновления безопасности, выпущенные для системы управления контентом Drupal (CMS), исправляют «крайне критическую» уязвимость, которую можно использовать для удаленного выполнения кода.




Аренда номера для смс поможет при регистрации страниц в соц сетях, таких как whatsapp, facebook, twitter, одноклассники, вконтакте и т. д.

По словам разработчиков Drupal, дыра в безопасности, отслеживаемая как CVE-2019-6340, вызвана отсутствием надлежащей очистки данных в некоторых типах полей, что в некоторых случаях может позволить злоумышленнику выполнить произвольный код PHP. Проблема была обнаружена Сэмюэлем Мортенсоном из группы безопасности Drupal.

Эксплуатация CVE-2019-6340 возможна, если включен основной модуль RESTful Web Services и он разрешает запросы PATCH или POST. Эксплуатация также возможна, если включен другой модуль веб-служб, такой как JSON: API в Drupal 8 или веб-службы RESTful или службы в Drupal 7.

Drupal 8.6.10 и 8.5.11 должны устранить уязвимость. Drupal 7 обновлять не нужно, но есть некоторые обновления для модулей, добавленных в Drupal 7, которые пользователям рекомендовано установить.

«Чтобы немедленно устранить уязвимость, вы можете отключить все модули веб-сервисов или настроить свой веб-сервер(-ы) так, чтобы запретить запросы PUT / PATCH / POST к ресурсам веб-сервисов», - сказал Друпал в своем сообщении. «Обратите внимание, что ресурсы веб-сервисов могут быть доступны по нескольким путям в зависимости от конфигурации вашего сервера (серверов). Для Drupal 7 ресурсы, например, обычно доступны через пути (чистые URL) и через аргументы к аргументу запроса «q». Для Drupal 8 пути все еще могут функционировать, если им предшествует index.php / ».

Важно, чтобы пользователи устанавливали обновления как можно скорее, учитывая, что весьма часто уязвимости для Drupal используются в дикой природе вскоре после выпуска исправлений.

В прошлом году киберпреступники взломали значительное количество сайтов на Drupal, используя две уязвимости, названные Drupalgeddon2 и Drupalgeddon3. Злоумышленники использовали недостатки, чтобы доставить RAT, криптовалюты и мошенников из службы технической поддержки.

Другие недавние атаки включали эксплойты, которые связывали Drupalgeddon 2 с уязвимостью ядра Linux, известной как DirtyCOW.


Похожие новости


Проблемы облачной безопасности

Компании все чаще переносят конфиденциальные данные в облако, но кибербезопасность, включая человеческий фактор и технологии, все еще является проблемой для многих, согласно новому отчету, опубликованному Oracle и KPMG.

Уязвимость плагина WP Cost Assessment, крах для сайтов на WordPress

Недоброжелатели могут взламывать сайты WordPress, используя уязвимости в довольно популярном плагине под названием WP Cost Assessment & Payment Forms Builder.

Intel SGX может быть использован для сокрытия вредоносных программ

Команда исследователей продемонстрировала, что технология Intel SGX может быть использована для сокрытия продвинутого и скрытого вредоносного ПО, которое может позволить злоумышленникам украсть данные и проводить действия от имени жертвы. Intel утверждает, что ее технология работает так, как задумано, и не предназначена для блокирования атак такого типа.



SIMONLINE.SU

Это не только сервис приема и отправки СМС сообщений на виртуальные номера, но еще и туториал по безопасности пользователей в современном мире, новинки разработок в IT сфере, безопасность в социальных сетях, свежие программы и уроки упрощающие нашу жизнь. Так же и другие вопросы встречающиеся у рядового пользователя. Простыми словами, каждый пользователь найдет для себя что то интересное или ответы на свои вопросы.

SIMonline © 2018 - 2024

All rights reserved