Kriittinen haavoittuvuus Drupal -sisällönhallintaohjelmistossa -Päivitä viipymättä

Haavoittuvuus8/2018

Drupal-sisällönhallintaohjelmiston haavoittuvuus mahdollistaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä ja sivuston täydellisen haltuunottamisen. Valmistaja kehottaa ylläpitäjiä päivittämään järjestelmät viipymättä

Drupal-sisällönhallintaohjelmiston versioissa 8, 7 ja 6 on havaittu haavoittuvuus, joka mahdollistaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä ja sivuston täydellisen haltuunottamisen. Haavoittuvuuksien korjaamiseksi järjestelmät on päivitettävä viipymättä.

Haavoittuvuuden vaikutusten minimoimiseksi ei käytännössä ole muita keinoja kuin ohjelmistojen päivittäminen.

Valmistaja on julkaissut haavoittuvuudesta tiedotteen (Ulkoinen linkki), sekä FAQ-sivun (Ulkoinen linkki), joista löytyy tietoa haavoittuvuudesta ja korjaavista päivityksistä.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Palvelunestohyökkäys
  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

  • Drupal-sisällönhallintajärjestelmän versiot 8, 7 ja 6.

Ratkaisu- ja rajoitusmahdollisuudet

  • Päivitä ohjelmistot valmistajan tiedotteesta (Ulkoinen linkki) löytyvien ohjeiden mukaisesti.
  • Haavoittuvuuden kriittisyydestä johtuen valmistaja tarjoaa korjauksen myös versioihin joiden tuki on jo virallisesti loppunut (8.2.x, 8.3.x ja 8.4.x).
  • Myös "End of Life" -vaiheessa oleva Drupal 6 -versio on haavoittuva ja sen ylläpitäjiä pyydetään seuraamaan sivua D6LTS vendor (Ulkoinen linkki) korjausten saamiseksi.
  • Haavoittuvuuden rajoittamiseksi ei käytännössä ole muita keinoja kuin ohjelmiston päivittäminen tai korjaustiedoston asentaminen.

Lisätietoja

Alkuperäinen haavatiedote julkaistu 28.3.2018