Drupal a lansat noi versiuni ce elimina vulnerabilitati

Drupal a lansat recent doua versiuni, 6.35 si 7.35, care elimina un bug important, ce permitea hackerilor sa reseteze parolele conturilor.

In prezent, conform statisticilor, exista, la nivel mondial, peste 1.1 milioane de website-uri Drupal. Dintre cele doua versiuni, cea mai folosita este Drupal 7, activand pe 983 de mii de website-uri.

Pe website-ul oficial Drupal se explica cum, prin intermediul vulnerabilitatii, un hacker avea posibilitatea de a crea URL-uri pentru resetarea parolelor contului. Asadar, atacatorul putea avea acces la un cont al unui utulizatorului, fara sa ii cunoasca parola.

Exista diferente intre cele doua versiuni despre cum poate fi exploatata vulnerabilitatea. Totusi, cele mai vulnerabile website-uri Drupal sunt acele care folosesc aceeasi parola pentru mai multe conturi.

Astfel, in ceea ce priveste Drupal 6, vulnerabilitatea poate fi exploatata in cazul in care administratorii unui site creeaza mai multe conturi de utilizator cu aceeasi parola, sau in cazul in care campul parolei din baza de date este gol.

In ceea ce priveste Drupal 7, vulnerabilitatea poate fi exploatata doar in cazul in care administratorii site-urilor importa sau editeaza conturile de utilizator intr-un mod care conduce la generarea aceluiasi hash al parolei, care este folosita pe mai multe conturi.

Prin urmare, toti utilizatorii Drupal sunt indrumati sa isi faca update la cea mai recenta versiune, pentru a elimina orice bug sau vulnerabilitate descoperita pana in prezent.

Lasa un mesaj