Drupal lại vừa bị phát hiện lỗ hổng nghiêm trọng

Các nhà phát triển Drupal đã phát hiện một lỗ hổng nghiêm trọng trên phần mềm và khuyến nghị người dùng cập nhật phiên bản mới để khắc phục.

Drupal là một hệ thống quản lý nội dung nguồn mở phổ biến cho hàng triệu website. Mới đây, nhóm lập trình viên của phần mềm đã phát hành bản cập nhật mới nhằm khắc phục một lỗi hệ thống sau khi phát hiện lỗ hổng này có thể bị hacker tận dụng để tấn công trang web từ xa.

Bản cập nhật được phát hành hai ngày sau khi nhóm bảo mật của Drupal đưa ra thông báo trước về bản vá lỗi và khuyến cáo quản trị viên những trang web đang sử dụng phần mềm này sớm cập nhật để phòng ngừa bị tin tặc tấn công.

Lỗ hổng này là một lỗi thực thi mã từ xa (RCE) quan trọng trong Drupal Core có thể “dẫn đến việc thực thi mã PHP tùy ý trong một số trường hợp”, nhóm bảo mật Drupal cho biết.

Mặc dù chưa công bố bất kỳ chi tiết kỹ thuật nào về lỗ hổng (CVE-2019-6340), nhưng các lập trình viên đã đề cập rằng lỗi này tồn tại do một số loại trường không làm sạch dữ liệu đúng cách, ảnh hưởng đến lõi của Drupal 7 và 8.

Cũng cần lưu ý những trang web sử dụng Drupal chỉ bị ảnh hưởng nếu module RESTful Web Services (phần còn lại) được bật và cho phép PATCH hoặc POST được bật module dịch vụ web khác.

Nếu chưa thể cài đặt ngay bản cập nhật mới nhất, thì quản trị viên có thể tạm thời khắc phục bằng cách vô hiệu hóa tất cả module dịch vụ web hoặc định cấu hình máy chủ, không cho phép PUT / PATCH / POST ảnh hưởng tới tài nguyên dịch vụ web.

“Tài nguyên dịch vụ web có sẵn trên nhiều đường dẫn tùy thuộc vào cấu hình của máy chủ”, Drupal cảnh báo trong một bài viết tư vấn bảo mật.

“Đối với Drupal 7, tài nguyên thường có sẵn thông qua các đường dẫn (URL sạch) và những đối số cho đối số truy vấn “q”. Ở Drupal 8, đường dẫn vẫn có thể hoạt động khi được thêm tiền tố index.php/”.

Tuy nhiên, xem xét mức độ phổ biến trong việc tin tặc lạm dụng Drupal để khai thác dữ liệu, quản trị viên nên sớm cài đặt bản cập nhật mới nhất:

  • Nếu đang sử dụng Drupal 8.6.x, hãy nâng cấp trang web lên Drupal 8.6.10.
  • Nếu đang sử dụng Drupal 8.5.x trở về trước, hãy nâng cấp trang web lên Drupal 8.5.11

Drupal cho biết module Drupal 7 Services không yêu cầu cập nhật, nhưng người dùng vẫn nên cập nhật các phần khác có liên quan nếu đang sử dụng “Services”.

Theo: The Hacker News