Исправлена уязвимость в механизме обновления CMS Drupal


CMSРазработчики популярной системы управления контентом CMS Drupal перешли на более защищенные каналы связи для распространения обновлений. Данное решение было принято после обнаружения одним ИБ-экспертом ошибки в механизме установки обновлений в Drupal версий 7 и 8.

Исследователь в блоге компании IOActive объяснил, что в случае неудачной попытки установки обновления Drupal не предупреждает администраторов ресурсов об ошибке. Более того, в панели управления сайтом отображается последняя версия CMS. Данная ошибка позволяет злоумышленнику:

  • осуществить атаку "человек посередине";
  • предотвратить установку исправлений безопасности на сайт;
  • внедрить на ресурс сторонний код.


Из-за использования устаревшей версии CMS сайт остается подверженным уязвимостям, которые разработчики устранили в более новых версиях Drupal.

После данного сообщения об ошибке разработчики Drupal изменили процедуру распространения обновлений. Теперь исправления загружаться по HTTPS, а анонимные загрузки через git получат поддержку SSL. Также стоит отметить, что в скором времени ожидается выход обновления для ядра Drupal.

И хотя разработчики подчеркнули сложность эксплуатации уязвимости, тем не менее, это возможно. Для успешного вмешательства в процесс обновления Drupal злоумышленнику необходимо предварительно осуществить атаку "человек посередине".


Обновлено (12.01.2016 17:02)