В Drupal 6, 7 и 8 разработчики исправили десять уязвимостей


CMSВ системе управления контентом Drupal 6, 7 и 8 было устранено 10 уязвимостей. Эксплуатация этих ошибок позволяла злоумышленникам получить доступ к закрытым данным или выполнить произвольный код. Кроме этого разработчики заявили о прекращении поддержки устаревшей версии Drupal 6, которая была выпущена еще в 2008 году.

Шесть из выявленных уязвимостей получили средний рейтинг опасности. Еще три оказались незначительными. Ошибки присутствовали в Drupal 6, 7 и 8.

Последняя, самая опасная из всех уязвимостей позволяет обойти ограничения безопасности при загрузке файлов. Эксплуатация данной бреши предоставляет злоумышленнику возможность предотвратить загрузку или выгрузку файлов на сайте под управлением Drupal, а кроме того вызвать отказ в обслуживании. Уязвимость может быть проэксплуатирована лишь в определенных формах загрузки файлов.

Для эксплуатации большинства уязвимостей жертвы должны использовать устаревшие версии определенных модулей для Drupal. Например, выполнение произвольного кода возможно лишь при условии, что на системе установлена устаревшая версия PHP. Установка последних обновлений в значительной степени снижает угрозу взлома.

Выпущенные производителем обновления содержат лишь исправления уязвимостей и не добавляют в CMS какие-либо новые функции. Разработчики рекомендуют установить патч как можно скорее.


Обновлено (26.02.2016 23:05)