Данное обновление исправляет проблему, которая дает возможность выполнения ddos атаки на ваш сайт, проблему ,которая позволяет обойти ограничения доступа к файлам и 2 проблемы с межсайтовым скриптингом. В связи с тем, что в обновлении присутствую исправления проблем безопасности, рекомендуется, в срочном порядке, произвести обновление.
Подверженность сайта к ddos атакам с использованием специально подготовленной HTTP переменной Host (Базовая система - Drupal 6 и 7 - Критическая проблема)
В зависимости от содержимого переменной Host HTTP запроса, Drupal определяет конфигурационый файл, который нужно использовать.
Злоумышленник может произвольно установить специально подготовленное содержимое переменной Host, после чего ваш сайт перестанет обрабатывать запросы посетителей. данная проблема актуальна для всех сайтов, даже тех, которые не используют многосайтовые инсталляции.
Обход системы ограничения прав доступа (File module - Drupal 7 - Critical)
Модуль File, при присоединении к материалам файлов ранее уже загруженных на сервер, не достаточно проверяет право доступа пользователя к этому файлу. Это может дать возможность злуумышленнику получить доступ у файлу другого пользователя сайта. Данная проблема смягчается тм фактом, что злоумышленник должен иметь право на создание материалов, которые имеют файловые поля.
Обратите внимание, что модуль Drupal 6 FileField также имеет данную проблему, поэтому обновиться также нужно.
Помимо вышеуказанных проблем безопасности, данное обновление содержит исправление двух ошибок, которые могут подвергнуть посетителей вашего сайта Cross-site scripting атакам.
Добавить комментарий