Drupal julkaisi varoituksen kriittisestä haavoittuvuudesta

Drupal on julkaissut varoituksen (Public Service Announcement) liittyen kriittiseen korjauspäivitykseen DRUPAL-SA-CORE-2014-005. Päivityksen korjaamaa haavoittuvuutta on pyritty käyttämään aktiivisesti hyväksi. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa verkkosivuston haltuunoton. Kyberturvallisuuskeskus julkaisi 15.10.2014 asiasta haavoittuvuustiedotteen 113/2014.

Julkaisemassaan varoituksessa Drupal painottaa korjauspäivityksen asentamisen tärkeyttä ja mahdollisen tietomurron selvittämistä. Drupalin mukaan korjattua haavoittuvuutta on pyritty aktiivisesti käyttämään hyväksi 15.10.2014 lähtien. Drupal on myös julkaissut ohjeen "Your Drupal site got hacked. Now what?" tietomurrosta toipumisen varalle. Tämä haavoittuvuustiedote päivittää haavoittuvuustiedotetta 113/2014 muun muassa Drupalin esille tuomien haavoittuvuuden hyväksikäyttöyritysten osalta.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Drupal 7 ennen versiota 7.32

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä ohjelmisto korjattuun versioon.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , CERT , Palvelin , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248