Drupal lança atualizações básicas do CMS para corrigir várias vulnerabilidades - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Drupal lança atualizações básicas do CMS para corrigir várias vulnerabilidades

Drupal lança atualizações básicas do CMS


O Drupal, o popular sistema de gerenciamento de conteúdo de código aberto, lançou atualizações de segurança para lidar com várias vulnerabilidades "moderadamente críticas" no Drupal Core que podem permitir que atacantes remotos comprometam a segurança de centenas de milhares de sites.

De acordo com os alertas publicados hoje pelos desenvolvedores do Drupal, todas as vulnerabilidades de segurança corrigidas pelo Drupal este mês residem em bibliotecas de terceiros incluídas no Drupal 8.6, Drupal 8.5 ou anterior e Drupal 7.

Uma das falhas de segurança é um script entre sites. (XSS) vulnerabilidade que reside em um plug-in de terceiros, chamado JQuery, a biblioteca JavaScript mais popular que está sendo usada por milhões de sites e também vem pré-integrada no Drupal Core.

Na semana passada, a JQuery lançou sua última versão do jQuery 3.4.0 para corrigir a vulnerabilidade relatada, que ainda não atribuiu um número CVE, que afeta todas as versões anteriores da biblioteca até essa data.

"O jQuery 3.4.0 inclui uma correção para algum comportamento não intencional ao usar jQuery.extend (true, {}, ...). Se um objeto de origem não-anulado contivesse uma propriedade __proto__ enumerável, ele poderia estender o Object.prototype nativo," assessoria explica.

"É possível que esta vulnerabilidade seja explorada com alguns módulos do Drupal."

As outras três vulnerabilidades de segurança residem nos componentes do Symfony PHP usados ​​pelo Drupal Core que podem resultar em scripts entre sites (CVE-2019-10909), execução remota de código (CVE-2019-10910) e bypass de autenticação (CVE-2019-1091) ataques.

Considerando a popularidade das explorações do Drupal entre hackers, é altamente recomendado que você instale a última atualização do CMS assim que possível:

  • Se você estiver usando o Drupal 8.6, atualize para o Drupal 8.6.15.
  • Se você estiver usando o Drupal 8.5 ou anterior, atualize para o Drupal 8.5.15.
  • Se você estiver usando o Drupal 7, atualize para o Drupal 7.66.

Quase dois meses atrás, os mantenedores do Drupal corrigiram uma vulnerabilidade crítica de RCE no Drupal Core sem liberar quaisquer detalhes técnicos da falha que poderiam permitir que atacantes remotos invadissem o site de seus clientes.

Mas, apesar disso, o código de exploração da prova de conceito (PoC) para a vulnerabilidade foi disponibilizado publicamente na Internet apenas dois dias depois que a equipe lançou a versão corrigida de seu software.

E então, vários indivíduos e grupos de hackers começaram a explorar ativamente a falha para instalar mineradores de criptomoedas em sites vulneráveis ​​do Drupal que não atualizaram seus CMSs para a versão mais recente.

No ano passado, os invasores também atacaram centenas de milhares de sites do Drupal em ataques em massa usando explorações selvagens que utilizavam duas vulnerabilidades críticas separadas de execução remota de código, chamadas Drupalgeddon2 e Drupalgeddon3 .

Nesses casos também, os ataques começaram logo após o código de exploração do PoC para ambas as vulnerabilidades ser publicado na Internet, que foi então seguido por tentativas de varredura e exploração da Internet em larga escala.

Longa história curta - Patch seus sites antes que seja tarde demais.

Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search