دروبال Drupal تصلح ثغرة امنية خطيرة , ننصح مشرفي المواقع admins التي تستخدم البرنامج تحديثه فورًا !


نحث مشرفيadmins المواقع الإلكترونية admins التي تستخدم دروبال Drupal  كنظام ادارة المحتوى (CMS)  على اتخاذ إجراءات فورية للتخفيف من خطورة وفعالية ثغرة أمنية تم اكتشافها مؤخرًا والتي يمكن أن تؤدي إلى تنفيذ شفرة برمجية عن بُعد بلغةPHP  في ظروف معينة.

الثغرة الحرجة هي في قلب نظام دروبال Drupal Core  وتؤثر على اصدارات 8.5.x  و 8.6.x من البرنامج، والتي تم إصلاح المشكلة في الإصدارات 8.5.11  و 8.6.10 ، على التوالي.  وتجدر الإشارة إلى أن الإصدارات قبل 8.5.x  وصلت إلى نهاية عمرها ولم تعد تتلقى تحديثات الأمان.

وفقًا لتقرير لأحد اعضاء فريق مشروع دروبال ، فإن المواقع الإلكترونية المهددة بالثغرة تحتوي على وحدة Drupal 8 core RESTful Web Services (rest)  مفعلة  وتسمح بطلبات الايعازين:  PATCH أو POST .

مواقع الويب التي تم تمكين خدمات الويب web services الأخرى عليها ، مثل :” JSON: API في Drupal 8  أو  الخدماتServices     أو RESTful Web Services   في Drupal 7 ” , معرضة للخطر أيضًا.

في حالة المواقع التي تحتوي على الوصف أعلاه ، يمكن تنفيذ شفرة برمجية (كود PHP ) تعسفي لأن بعض أنواع الحقول تفشل في تطهير البيانات من المصادر الغير نموذجية بشكل صحيح.

على الرغم من أن الصغرة هذه لا تؤثر على قلب نظام دروبال  7، إلا أن مشرفى منتج دروبال ينصحون مشرفي المواقع التي تشغل هذا الإصدار من دروبال بتثبيت التحديثات المساهمة  إذا كانت وحدة الخدمات Services module قيد الاستخدام.

إذا كان تحديث أحدث إصدار من نظام إدارة المحتوى غير ممكن في الوقت الحالي ، يقدم فريق دروبال إجراءً بديلاً للتخفيف المؤقت من المخاطر المحتملة لهذه الثغرة : قم بتعطيل جميع وحدات خدمات الويب  أو غير اعدادات خادم الويب web server لرفض طلبات PUT / PATCH / POST  لمصادر خدمات الويب.

إذا تم تطبيق هذه الطرق ، يجب على المشرفين التحقق من اعدادات خادم الويب للتأكد من أنه تم تغطية جميع المسارات الى موارد خدمات الويب.

يعتبر دروبال ثالث أكثر موقع إلكتروني شهير كنظام ادارة المحتوى  CMS ، ويغطي 3.5٪ من السوق ، وفقًا للبيانات الصادرة عن W3Techs في 21 فبراير.  ووفقًا لمشروع دروبال نفسه ، و بدءًا من 10 فبراير ، فإن الإصدار 8.x  من نظام إدارة المحتوى يشغل ما يفوق280000  موقع الكتروني ، بينما لا يزال الاصدار 7.x هو الأكثر شعبية ، حيث يشغل أكثر من 800000 موقع.

 

 

 

المصدر:

https://www.bleepingcomputer.com/news/security/drupal-fixes-highly-critical-vulnerability/

ان كان لديكم اي استفسار او سؤال الرجاء مراسلتنا عبر التعليقات في اسفل الشاشة

للتعليقات

هذا الموقع يستخدم Akismet للحدّ من التعليقات المزعجة والغير مرغوبة. تعرّف على كيفية معالجة بيانات تعليقك.

CyberArabs عضو في:

للتبليغ

سجل في نشرتنا الشهرية

%d مدونون معجبون بهذه: