هشدار: به روزرسانی امنیتی Drupal، Symfony و Zend

به تازگی یک آسیب‌پذیری مهم در Symfony کشف شده است که Drupal را نیز تحت تاثیر قرار می‌دهد. مرکز ماهر اکیدا توصیه می‌کند که سیستم مدیریت محتوا Drupal خود را هرچه سریعتر به روز رسانی نمایید.

 هشدار: به روزرسانی امنیتی Drupal، Symfony و Zend

به تازگی یک آسیب‌پذیری مهم در Symfony کشف شده است که Drupal را نیز تحت تاثیر قرار می‌دهد. مرکز ماهر اکیدا توصیه می‌کند که سیستم مدیریت محتوا Drupal خود را هرچه سریعتر به روز رسانی نمایید. در وپال یک سیستم مدیریت محتوا است و Symfony و Zend دو فریمورک اپلکیشن وب هستند. به تازگی یک آسیب‌پذیری مهم در Symfony کشف شده است که Drupal را نیز تحت تاثیر قرار می‌دهد زیرا دروپال از کتابخانه Symfony استفاده می‌کند. همین آسیب‌پذیری در فریمورک Zend نیز وجود دارد اما Drupal را تحت تاثیر قرار نمی‌دهد (هر چند دروپال از این کتابخانه نیز استفاده می‌کند).

مرکز ماهر هشدار می‌دهد:

 

مدیران شبکه و سرورها توجه داشته باشند که آسیب پذیری فوق در سیستم Drupal با موفقیت Exploit شده و توسط نفوذگران در حال استفاده می باشد. توصیه اکید می گردد که سیستم مدیریت محتوا Drupal خود را هرچه سریعتر به روز رسانی نمایید.

 

شرح آسیب‌پذیری

پشتیبانی Symfony و Zend از دو سرایند قدیمی درخواست HTTP در IIS به نام‌های X-Original-URL  و X-Rewrite-URLباعث این آسیب‌پذیری می‌شود. این سرایندها باعث می‌شوند یک مهاجم بتواند یک URL را فراخوانی کند اما Symfony/Zend را وادار کند تا URL دیگری را برگرداند. این امر باعث دور زدن محدودیت‌های امنیتی در کش‌های سطح بالا و وب سرورها می‌شود. در نسخه وصله شده این دو فریمورک، پشتیبانی از این سرایندها حذف شده است.

 

چگونه در امان بمانیم؟

اگر از Drupal استفاده می‌کنید آن را به نسخه 8.5.6 به روز کنید. نسخه‌های دروپال 8.0 قبل از   8.5.x قدیمی محسوب شده و پشتیبانی نمی‌شوند و در نتیجه برای این آسیب‌پذیری نیز وصله دریافت نکرده اند و بنابراین استفاده از این نسخه‌ها توصیه نمی‌شود.

اگر به طریقی غیر از دروپال از Symfony یا Zend استفاده می‌کنید، آن‌ها را به روز کنید.

 

 

 

منابع:

https://www.drupal.org/SA-CORE-2018-005

https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers

https://framework.zend.com/security/advisory/ZF2018-01

کلمات کلیدی