1. HUNCERT
  2. Kiemelt riasztások
  3. Drupal core – nagyon kritikus besorolású távoli kódfuttatási sérülékenysége

Drupal core – nagyon kritikus besorolású távoli kódfuttatási sérülékenysége

Drupal core – nagyon kritikus besorolású távoli kódfuttatási sérülékenysége

2018-03-28

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

CVE: CVE-2018-7600, SA-CORE-2018-002

A Drupal 7,x és 8.x több alrendszere távoli kódfuttatási sérülékenységet tartalmaz. A sérülékenység lehetővé teszi a távoli támadónak, hogy a Drupál oldalon több támadási vektort is kihasználjon, melyek eredményeképpen az oldal teljesen kompromittálódik.

A Drupal biztonsági csapata kiadott egy gyakori kérdés összefoglalót, mely az alábbi linken érhető el:

A sérülékenység javítására javasolt a legfrissebb verzióra frissiteni a Drupal 7 vagy 8 core esetén.

Drupal 7.x esetén Drupal 7.58-ra (https://www.drupal.org/project/drupal/releases/7.58)
Drupal 8.5.x esetén Drupal 8.5.1-re. (https://www.drupal.org/project/drupal/releases/8.5.1)

Ha a frissítést nem lehet azonnal elvégezni, akkor mindkét verzióhoz van javító patch.

 
A Drupal 8.3.x és 8.4.x már nem támogatottak, de a fenyegetettség súlyossága miatt ezekből is készült olyan kiadás, melyek tartalmazzák a javítást.
Így ha nem lehetséges a 8.5.x verzióra váltás, akkor
Drupal 8.3.x esetén Drupal 8.3.9 verzióra (https://www.drupal.org/project/drupal/releases/8.3.9), míg
Drupal 8.4.x esetén Drupal 8.4.6 verzióra kell frissíteni. (https://www.drupal.org/project/drupal/releases/8.4.6)

Ha a frissítést nem lehet azonnal elvégezni, akkor mindkét verzióhoz van javító patch.

 

A Drupal 8.2.x is érintett, de azok esetén csak az újabb verzióra váltással lehet javítani a hibát.

Korábbi verziókhoz tartozó javító patch-ek:

Drupal 6 patch: https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-002.patch
Drupal 5 patch: https://www.drupal.org/files/issues/2018-03-28/sa-core-2018-002-d5.patch

További információk találhatók az alábbi linkeken:
Drupal core