Haavoittuvuus8/2018
Drupal-sisällönhallintaohjelmiston haavoittuvuus mahdollistaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä ja sivuston täydellisen haltuunottamisen. Valmistaja kehottaa ylläpitäjiä päivittämään järjestelmät viipymättä
Drupal-sisällönhallintaohjelmiston versioissa 8, 7 ja 6 on havaittu haavoittuvuus, joka mahdollistaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä ja sivuston täydellisen haltuunottamisen. Haavoittuvuuksien korjaamiseksi järjestelmät on päivitettävä viipymättä.
Haavoittuvuuden vaikutusten minimoimiseksi ei käytännössä ole muita keinoja kuin ohjelmistojen päivittäminen.
Valmistaja on julkaissut haavoittuvuudesta tiedotteen (Ulkoinen linkki), sekä FAQ-sivun (Ulkoinen linkki), joista löytyy tietoa haavoittuvuudesta ja korjaavista päivityksistä.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
- Drupal-sisällönhallintajärjestelmän versiot 8, 7 ja 6.
Mistä on kysymys?
- Päivitä ohjelmistot valmistajan tiedotteesta (Ulkoinen linkki) löytyvien ohjeiden mukaisesti.
- Haavoittuvuuden kriittisyydestä johtuen valmistaja tarjoaa korjauksen myös versioihin joiden tuki on jo virallisesti loppunut (8.2.x, 8.3.x ja 8.4.x).
- Myös "End of Life" -vaiheessa oleva Drupal 6 -versio on haavoittuva ja sen ylläpitäjiä pyydetään seuraamaan sivua D6LTS vendor (Ulkoinen linkki) korjausten saamiseksi.
- Haavoittuvuuden rajoittamiseksi ei käytännössä ole muita keinoja kuin ohjelmiston päivittäminen tai korjaustiedoston asentaminen.
Mitä voin tehdä?
Alkuperäinen haavoittuvuustiedote julkaistu 28.3.2018