هشدارهای افتایی
پشتیبانی سیستم مدیریت محتوای دروپال، با انتشار ویرایش 8.5.6 این CMS، یک آسیب‌پذیری امنیتی (CVE-2018-14773) را برطرف کرده است. در توصیه امنیتی دروپال ذکر شده است که دروپال از کتابخانه Symfony استفاده می‌کند. کتابخانه Symfony یک بروزرسانی امنیتی را ارائه کرده است که دروپال را نیز تحت تاثیر قرار می‌دهد. این آسیب‌پذیری در کتابخانه‌های Zend Feed و Diactoros نیز وجود دارد که در هسته دروپال مورد استفاده قرار گرفته‌اند، هرچند که هسته دروپال از قابلیت آسیب‌پذیر آن استفاده نمی‌کند.
در صورتی که یک وبسایت یا ماژول بطور مستقیم از Zend Feed و Diactoros استفاده می‌کند، اعمال بروزرسانی یا وصله برای آن الزامی است. مولفه Symfony HttpFoundation یک کتابخانه ثالث است که در هسته دروپال استفاده شده است. نقص موجود ویرایش‌های 8.x قبل از 8.5.6 دروپال را تحت تاثیر قرار می‌دهد.
Symfony یک چارچوب برنامه وب است که توسط بسیاری از پروژه‌ها استفاده می‌شود، از این رو آسیب‌پذیری CVE-2018-14773 به طور بالقوه می‌تواند برای تعداد زیادی از برنامه‌های وب خطراتی را ایجاد کند. این نقص بدلیل پشتیبانی Symfony از فرایندهای HTTP قدیمی و خطرناک به وجود آمده است. فرایند IIS قدیمی پشتیبانی شده توسط Symfony به کاربر اجازه می‌دهد تا مسیر درخواست شده در آدرس URL را از طریق X-Original-URL یا X-Rewrite-URL بازنویسی کند که باعث می‌شود کاربر بتواند در کش‌های سطح بالا و وب سرورها محدودیت‌ها را دور بزند. بروزرسانی منتشر شده پشتیبانی از فرایندهای X-Original-URL و X_REWRITE_URL را متوقف می‌کند. یک مهاجم از راه دور می‌تواند با ساختن مقادیر فرایند HTTP X-Original-URL یا X-Rewrite-URL از آسیب‌پذیری بهره‌برداری کند.
ویرایش‌های 2.7.49، 2.8.44، 3.3.18، 3.4.14، 4.0.14 و 4.1.3 چارچوب Symfony نسبت به این نقص آسیب‌پذیر هستند. همانطور که اشاره شد، ایراد مشابه در کتابخانه‌های Zend Feed و Diactoros نیز وجود دارد.
•    مدیران وبسایت‌هایی که بطور مستقیم از کتابخانه‌های Zend Feed و Diactoros استفاده می‌کنند باید هرچه سریع‌تر وصله‌های منتشر شده را اعمال کنند.
•    مدیران وبسایت‌هایی که مبتنی بر دروپال هستند نیز باید در اسرع وقت، قبل از بهره‌برداری هکرها از آسیب‌پذیری CVE-2018-14773، CMS خود را بروزرسانی کنند.

منبع:

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.