Drupal-moduuleissa useita haavoittuvuuksia

Suositun Drupal-julkaisujärjestelmän moduuleista on löydetty useita haavoittuvuuksia, joista osaan on julkaistu korjaava päivitys. Vakavuudeltaan kriittisin on REST/JSON-moduulin haavoittuvuus, johon korjausta ei ole ja moduuli tulisi poistaa käytöstä.

Drupal-julkaisujärjestelmän moduuleista on löydetty useita haavoittuvuuksia. Vakavuudeltaan kriittisimpiä ovat REST/JSON-moduulin haavoittuvuudet, jotka mahdollistaa suojauksen ohittamisen ja luottamuksellisen tiedon hankkimisen. Haavoittuvuuksiin ei ole korjauspäivitystä eikä moduulia tämän vuoksi enää tueta.

Outline Designer -moduulissa on korjattu vakavuudeltaan merkittävä Cross Site Scripting -haavoittuvuus. Moduulille on julkaistu korjaava ohjelmistopäivitys.

Page Manager Search -moduulissa on korjattu vakavuudeltaan merkittävä haavoittuvuus, joka mahdollistaa luottamuksellisen tiedon hankkimisen. Moduulille on julkaistu korjaava ohjelmistopäivitys.

Lisäksi Node Embed -moduulissa on palvelunestohyökkäyksen mahdollistava haavoittuvuus, johon ei ole korjauspäivitystä, eikä moduulia tämän vuoksi enää tueta.

Drupal suosittelee poistamaan käytöstä ne moduulit, joihin ei ole saatavilla korjauspäivitystä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Drupal REST/JSON kaikki 7.x-1.x versiot
  • Drupal Outline Designer ennen versiota 7.x-2.3
  • Drupal Page Manager Search 7.x-1.x ennen versiota 7.x-1.2
  • Drupal Node Embed kaikki 7.x-1.x versiot

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä versioon

  • Drupal Outline Designer 7.x-2.3
  • Drupal Page Manager Search 7.x-1.2

Poista haavoittuva versio

  • Node Embed Drupal-versiolle 7.x
  • REST/JSON Drupal-versiolle 7.x

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , NCSC-FI , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248