פלטפורמת Drupal מזהירה מפני פגיעות בספריה צד ג'

[ביג-טכנולוגיה]

תאריך פרסום
07.08.2018
​

לאחרונה פורסם עדכון אבטחה עבור ספריה צד ג' בשם Symfony, הכלולה בפרויקט Drupal.
פגיעות בספריה הנ"ל עלולה לאפשר לתוקף מעקף של הגדרות אבטחה.

פרטים
מערכת Drupal היא מערכת ניהול תוכן ובניית אתרים מבוססת קוד פתוח, ונחשבת לאחת מהמובילות בעולם בתחום.

פגיעות (CVE-2018-14773) רלוונטית לגרסאות של Symfony 2.7.0 עד 2.7.48,
2.8.0 עד 2.8.43
3.3.0 עד 3.3.17
3.4.0 עד 3.4.13
4.0.0 עד 4.0.13
4.1.0 עד 4.1.2
ותוקנה בגרסאות 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 ו 4.1.3.

מקור הפגיעות בתמיכה ב- Headers מיושנים המאפשרים לתוקף לשנות את הנתיב של ה- URL המבוקש (X-Original-URL or X-Rewrite-URL). התיקון מסיר את התמיכה ב- Headers אלו.

פגיעות זו רלוונטית לגרסאות 8.x הקודמות לגרסה 8.5.6 של Drupal.

פגיעות זו נמצאת גם בספריות Zend Feed ו Diactors וגם עבורן פורסם עדכון אבטחה

• zend-diactoros, 1.8.4
• zend-http, 2.8.1
• zend-feed, 2.10.3

דרכי התמודדות
מי שמשתמש בגרסאות Drupal 8.x, מומלץ לבחון את גרסה 8.5.6 של המערכת ולהתקינה בהקדם האפשרי.