یک آسیب‌پذیری در Drupal، می‌تواند منجر به اجرای کد از راه دور ‌شود. (انتشار 02/22/2019)

یک آسیب‌پذیری در Drupal، می‌تواند منجر به اجرای کد از راه دور ‌شود. (انتشار 02/22/2019)

خلاصه آسیب‌پذیری یک آسیب‌پذیری در ماژول هسته Drupal کشف شده است که می‌تواند موجب اجرای کد از راه دور شده و بر روی سیستم مدیریت محتوای دروپال تأثیر می‌گذارد. دروپال سیستم مدیریت محتوا (CMS) منبع باز است که در PHP نوشته شده است. دروپال سومین سیستم مدیریت محتوای محبوب برای انتشار وب‌سایت است که حدود سه درصد از وب‌سایت‌های میلیارد دلاری جهان را تشکیل می‌دهد. بهره‌برداری از این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور شود. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. اگر حساب کاربران با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود. سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی زیاد است. در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است. نسخه‌های تحت‌تأثیر • Drupal Core versions prior to 8.6.10 and 8.5.11 جزئیات آسیب‌پذیری‌ها این آسیب‌پذیری با شناسه CVE-2019-6340 ناشی از بررسی نامناسب داده‌‌ها در برخی فیلدها است که می‌تواند منجر به آسیب‌پذیر شدن وب‌سایت و کنترل وب سرور توسط مهاجمین گردد. این امر در بعضی موارد می‌تواند منجر به اجرای کد PHP دلخواه شود. توصیه‌ها • تمامی ماژول‌های سرویس وب را غیرفعال کنید یا در پیکربندی وب سرور(ها) مجوز درخواست‌های PUT/PATCH/POST به منابع خدمات وب داده نشود. توجه داشته باشید که منابع خدمات وب ممکن است در مسیرهای مختلف بسته به پیکربندی سرورهای شما در دسترس باشند. در دروپال 7، به طور مثال، منابع به طور معمول از طریق مسیرها (clean URLs) و از طریق آرگومان‌هایی به پرس و جو "q" در دسترس هستند. • دروپال هشدار داده که بعد از به‌روزرسانی Drupal core ادمین‌ها باید به روزرسانی‌های امنیتی مربوط به پروژه‌های third-party Drupal که شامل Font Awesome Icons، Translation Management Tool، Paragraphs، Video، Metatag، Link، JSON:API، و RESTful Web Services هستند را نصب کنند. هسته دروپال 7 در واقع نیاز به به‌روز‌رسانی ندارد، اما برخی از پروژه‌های third-party ذکر شده برای دروپال 7 باید به روز شود. • شاخه‌های آسیب‌پذیری هسته دروپال عبارتند از Drupal 8.6.x و Drupal 8.5.x و نسخه‌های قبل از آن که توصیه می‌شود سریعاً نسبت به اعمال پچ‌های منتشر شده توسط دروپال اقدام نمایید. • برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید. • به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند. • کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد مطلع گشته و آموزش داده شوند. • اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها مورد توجه قرار گیرد. • نسخه‌های دروپال 8.4.x و نسخه‌های قبلی باید در اسرع وقت به نسخه‌های پشتیبانی شده دروپال پس از استفاده از پچ‌ها، تغییر یابند.