هشدار: دروپال را بهروز کنید
دروپال در بهروزرسانی اخیر خود چند آسیبپذیری را رفع کرده است که بعضی از آنها بحرانی هستند.
|
دروپال در بهروزرسانی اخیر خود چند آسیبپذیری را رفع کرده است که بعضی از آنها بحرانی هستند.
|
|
Content Moderation – بحرانی متوسط – دور زدن دسترسی – دروپال 8 |
|
در برخی از شرایط، تعدیل محتوا (Content moderation) نمیتواند به درستی بررسی کند که کاربر اجازه استفاده از برخی گذارها (transitions) را دارد یا خیر. برای حل این مساله تغییرات زیر انجام شده اند:
|
|
|
دو سرویس جدید به این سرویس اضافه شده اند. اگر کلاسی را از این کلاس مشتق میکنید (subclass) اطمینان حاصل کنید که این دو وابستگی به عنوان ورودی به سازنده کلاس ارسال میشوند (اگر سازنده کلاس override شده است).
|
|
|
یک متد جدید (isTransitionValid) به این رابط (interface) اضافه شده است.پیادهسازیهای این رابط که از کلاس StateTransitionValidation ارث نمیبرند باید این متد را پیادهسازی کنند.در مورد پیادهسازیهایی که از این کلاس ارث میبرند، باید اطمینان حاصل کنید که تمام تغییرات رفتاریای که در این پیادهسازیها اتفاق میافتد، در این متد جدید نیز منعکس شود.
|
|
مجوزهای کاربری |
|
قبلا کاربرانی که به گذارهای تعدیل محتوا دسترسی نداشتند، به طور ضمنی اجازه بهروزرسانی محتوا را مییافتند (در صورتی که حالت (state) محتوا تغییر نمیکرد). اکنون بررسیهای لازم برای جلوگیری از این مشکل به کد اضافه شده است.
|
|
تزریق URL خارجی از طریق URL alias – بحرانی متوسط – Open Redirect – دروپال 7 و 8 |
|
ماژول path به کاربرانی با مجوز “administer paths” اجازه میدهد URLهای زیبا (pretty URLs) ایجاد کنند. تحت شرایطی، یک کاربر سایت میتواند مسیری را وارد کند که باعث open redirect شدن به یک URL بدخواه میشود. اکنون اگر کاربری بخواهد این حمله را انجام دهد باید مجوز “administer paths” را داشته باشد که این باعث کم شدن احتمال حمله میشود.
|
|
Anonymous Open Redirect – بحرانی متوسط – Open Redirect – دروپال 8 |
|
Drupal core و برخی ماژولهای اضافه شده به آن از یک پارامتر کوئری در URLها استفاده میکنند تا پس از انجام عملی در صفحه فعلی، کاربر را به یک مقصد جدید هدایت کنند. تحت شرایط خاصی کاربران بدخواه میتوانند با استفاده از این پارامتر، URLهای بدخواهی بسازند و به کاربران وانمود کنند که در حال انتقال به یک سایت شخص ثالث هستند و بدین شکل کاربران در معرض حملات مهندسی اجتماعی قرار میگیرند.
|
|
حذف مدیر رویداد RedirectResponseSubscriber در وصله جدید، تابع DrupalCoreEventSubscriberRedirectResponseSubscriber::sanitizeDestination حذف شده است. |
|
اگر کلاسی را از این کلاس مشتق کرده اید یا این تابع را فراخوانی میکنید، پیادهسازی خود را تغییر دهید.
|
|
تزریق در DefaultMailSystem::mail() – بحرانی – اجرای کد از راه دور – دروپال 7 و 8 |
|
در هنگام ارسال ایمیل، برخی متغیرها به طور مناسب پاکسازی نمیشدند و این امکان اجرای کد از راه دور را فراهم میکرد.
|
|
صحت سنجی لینک محتوایی Contextual Links |
|
ماژول Contextual Links لینکهای محتوایی درخواست شده را به طور مناسب صحتسنجی نمیکند. اکنون اگر کاربری بخواهد از این آسیبپذیری بهرهبرداری کند باید دارای مجوز “access contextual links” باشد و در نتیجه خطر این آسیبپذیری کاهش مییابد. |
|
راه حل |
|
Drupal Core را به جدیدترین نسخه بهروز کنید: Drupal 7.x à 7.60 |