 |
Muut verkkotunnukset myös meidän kautta
20 03 2015
Haavoittuvuuksia Drupal-julkaisujärjestelmässä
haavoittuvuudet, drupalDrupal-julkaisujärjestelmän 6.x ja 7.x versioista on löydetty kaksi haavoittuvuutta.
Toinen haavoittuvuus koskee salasanan resetointiin käytettyä URL:ia, joka on mahdollista väärentää tietyissä olosuhteissa. Tätä kautta hyökkääjän on mahdollista saada pääsy toisen käyttäjän tilille ilman tilin salasanaa. Toinen haavoittuvuus koskee Drupalin käyttämien URL:ien destination -parametria, jonka avulla käyttäjä voidaan ohjata esimerkiksi haitallista materiaalia sisältävälle sivustolle.
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
- Muut
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Hyväksikäyttö
- Suojauksen ohittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot:
- Drupal core 7.35 versiota vanhemmat versiot
- Drupal core 6.35 versiota vanhemmat versiot
Ratkaisu- ja rajoitusmahdollisuudet:
Korjaava ohjelmistopäivitys
Lisätietoa:
- https://www.drupal.org/SA-CORE-2015-001
- http://thehackernews.com/2015/03/hacking-drupal-website.html
Päivityshistoria
- 20.03.2015 klo 14:29Julkaistu
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.