هشدار: به روزرسانی امنیتی Drupal، Symfony و Zend
به تازگی یک آسیبپذیری مهم در Symfony کشف شده است که Drupal را نیز تحت تاثیر قرار میدهد. مرکز ماهر اکیدا توصیه میکند که سیستم مدیریت محتوا Drupal خود را هرچه سریعتر به روز رسانی نمایید.
به تازگی یک آسیبپذیری مهم در Symfony کشف شده است که Drupal را نیز تحت تاثیر قرار میدهد. مرکز ماهر اکیدا توصیه میکند که سیستم مدیریت محتوا Drupal خود را هرچه سریعتر به روز رسانی نمایید. در وپال یک سیستم مدیریت محتوا است و Symfony و Zend دو فریمورک اپلکیشن وب هستند. به تازگی یک آسیبپذیری مهم در Symfony کشف شده است که Drupal را نیز تحت تاثیر قرار میدهد زیرا دروپال از کتابخانه Symfony استفاده میکند. همین آسیبپذیری در فریمورک Zend نیز وجود دارد اما Drupal را تحت تاثیر قرار نمیدهد (هر چند دروپال از این کتابخانه نیز استفاده میکند). |
مرکز ماهر هشدار میدهد:
|
مدیران شبکه و سرورها توجه داشته باشند که آسیب پذیری فوق در سیستم Drupal با موفقیت Exploit شده و توسط نفوذگران در حال استفاده می باشد. توصیه اکید می گردد که سیستم مدیریت محتوا Drupal خود را هرچه سریعتر به روز رسانی نمایید.
|
شرح آسیبپذیری |
پشتیبانی Symfony و Zend از دو سرایند قدیمی درخواست HTTP در IIS به نامهای X-Original-URL و X-Rewrite-URLباعث این آسیبپذیری میشود. این سرایندها باعث میشوند یک مهاجم بتواند یک URL را فراخوانی کند اما Symfony/Zend را وادار کند تا URL دیگری را برگرداند. این امر باعث دور زدن محدودیتهای امنیتی در کشهای سطح بالا و وب سرورها میشود. در نسخه وصله شده این دو فریمورک، پشتیبانی از این سرایندها حذف شده است.
|
چگونه در امان بمانیم؟ |
اگر از Drupal استفاده میکنید آن را به نسخه 8.5.6 به روز کنید. نسخههای دروپال 8.0 قبل از 8.5.x قدیمی محسوب شده و پشتیبانی نمیشوند و در نتیجه برای این آسیبپذیری نیز وصله دریافت نکرده اند و بنابراین استفاده از این نسخهها توصیه نمیشود. |
اگر به طریقی غیر از دروپال از Symfony یا Zend استفاده میکنید، آنها را به روز کنید.
|
منابع: |
https://www.drupal.org/SA-CORE-2018-005 https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers |