19 ноября 2014 вышло критическое обновление безопасности для Drupal 7 и 6 Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2014-006
Первая уязвимость - подделка и перехват сессии
В обеих ветках Drupal можно перехватить сессию другого пользователя запросом, сформированным специальным образом. Эта атака возможна в случаях работы сайта и шифрования соединения (http и https) одновременно (смешанный режим).
Вторая уязвимость касается только Drupal 7 - отказ в обслуживании
Текущая ветка фреймворка для создания сайтов не хранит пользовательские пароли в открытом виде и включает в себя API для хеширования паролей. Уязвимость этого API позволяет атакующему отправить сформированный определенным образом запрос, результатом которого будет увеличение потребления процессорного времени и оперативной памяти. Итогом такой атаки может оказаться полная недоступность сайта или невозможность ответа на запрос посетителя. Эта уязвимость может быть использована любым посетителем.
В качестве решения предлагается произвести обновления ядра Drupal на версии 6.34 и 7.34 соответственно.
Если у вас на сайте использовался файл session.inc с изменениям, то сделайте резервную его копию, убедитесь что он обновился и внесите свои правки уже относительно обновленного файла.
В случае с файлом password.inc, убедитесь, что файл обновится, и произведите действия описанные выше.
Было интересно?
