Вышло обновление безопасности Drupal 7.34

11/20/2014 - 02:00

Прошло совсем немного времени, с момента выхода обновления Drupal 7.32, которое закрывает серьезную уязвимость и вот опять пришла пора обновлять ядро до последней версии.

В данном обновлении закрыты две проблемы безопасности Возможность завладения сессией другого пользователя и Подверженность к проведению DDoS атаки.

Злопыхателям не следует потирать руки - выход обновления свидетельствует о том, что Drupal интересен людям и активно развивается, а в системе, преданной забвению ошибки просто некому искать.

Возможность завладения сессией другого пользователя (Drupal 6 и 7)

Данная проблема позволяет атакующему пользователю, путем отправки определенным образом сформированного запроса,  завладеть сессией случайного пользователя сайта. На данный момент известно, что такой вид атаки возможен для тех сайтов, которые работают в смешанном режиме (отдают HTTP и HTTPS траффик), но вполне вероятно, что возможен и другой вектор атаки, на данный момент не выявленный.

Подверженность к проведению DDoS атаки (Drupal 7)

Вторая проблема кроется в системе хэширования паролей, которая предназначена для хранения паролей в зашифрованном виде и заключается в том, что атакующий может совершить DDoS атаку, путем отправки специально подготовленного запроса на сервер.

Проблема усугубляется тем, что ее могут использовать анонимные пользователи сайта.

Процесс обновления описан в сататье как обновлять ядро Drupal до последней версии.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Разрешённые HTML-теги: <a> <s> <u> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <hr> <dd> <sub> <sup>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Защита от СПАМ ботов. Подтвердите, пожалуйста, что вы человек.