Критическое обновление безопасности Drupal 7 и 6

19 ноября 2014 вышло критическое обновление безопасности для Drupal 7 и 6 Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2014-006

Первая уязвимость - подделка и перехват сессии

В обеих ветках Drupal можно перехватить сессию другого пользователя запросом, сформированным специальным образом. Эта атака возможна в случаях работы сайта и шифрования соединения (http и https) одновременно (смешанный режим).

Вторая уязвимость касается только Drupal 7 - отказ в обслуживании

Текущая ветка фреймворка для создания сайтов не хранит пользовательские пароли в открытом виде и включает в себя API для хеширования паролей. Уязвимость этого API позволяет атакующему отправить сформированный определенным образом запрос, результатом которого будет увеличение потребления процессорного времени и оперативной памяти. Итогом такой атаки может оказаться полная недоступность сайта или невозможность ответа на запрос посетителя. Эта уязвимость может быть использована любым посетителем.

В качестве решения предлагается произвести обновления ядра Drupal на версии 6.34 и 7.34 соответственно.

Если у вас на сайте использовался файл session.inc с изменениям, то сделайте резервную его копию, убедитесь что он обновился и внесите свои правки уже относительно обновленного файла.

В случае с файлом password.inc, убедитесь, что файл обновится, и произведите действия описанные выше.

Автор статьи:

Сабынич Вадим

Аватар пользователя vadim s. sabinich
Вернуться