Kriittinen haavoittuvuus Drupal -sisällönhallintaohjelmistossa -Päivitä viipymättä

Drupal-sisällönhallintaohjelmiston haavoittuvuus mahdollistaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä ja sivuston täydellisen haltuunottamisen. Valmistaja kehottaa ylläpitäjiä päivittämään järjestelmät viipymättä

Drupal-sisällönhallintaohjelmiston versioissa 8, 7 ja 6 on havaittu haavoittuvuus, joka mahdollistaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä ja sivuston täydellisen haltuunottamisen. Haavoittuvuuksien korjaamiseksi järjestelmät on päivitettävä viipymättä.

Haavoittuvuuden vaikutusten minimoimiseksi ei käytännössä ole muita keinoja kuin ohjelmistojen päivittäminen.

Valmistaja on julkaissut haavoittuvuudesta tiedotteen, sekä FAQ-sivun, joista löytyy tietoa haavoittuvuudesta ja korjaavista päivityksistä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Drupal-sisällönhallintajärjestelmän versiot 8, 7 ja 6.

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä ohjelmistot valmistajan tiedotteesta löytyvien ohjeiden mukaisesti.
  • Haavoittuvuuden kriittisyydestä johtuen valmistaja tarjoaa korjauksen myös versioihin joiden tuki on jo virallisesti loppunut (8.2.x, 8.3.x ja 8.4.x).
  • Myös "End of Life" -vaiheessa oleva Drupal 6 -versio on haavoittuva ja sen ylläpitäjiä pyydetään seuraamaan sivua D6LTS vendor korjausten saamiseksi.
  • Haavoittuvuuden rajoittamiseksi ei käytännössä ole muita keinoja kuin ohjelmiston päivittäminen tai korjaustiedoston asentaminen.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248