More

    Drupal phát hành cập nhật vá nhiều lỗ hổng nghiêm trọng

    Các bản cập nhật phát hành hôm Thứ Tư cho Drupal 7 và 8 đã vá nhiều lỗ hổng nghiêm trọng, gồm nhiều vấn đề được đánh giá “nguy hiểm”. Không có bản sửa lỗi nào được đưa ra trong các bản phát hành mới nhất.

    Một trong những lỗ hổng an ninh nguy hiểm được khắc phục trong Drupal 8.4.5 và 7.57 có liên quan đến các cơ chế ngăn chặn cross-site scripting (XSS) không đầy đủ.

    “Drupal có một hàm JavaScript Drupal.checkPlain (), được sử dụng để thoát khỏi các văn bản nguy hiểm tiềm ẩn trước khi xuất ra HTML. Chức năng này không xử lý đúng cách tất cả các phương pháp tiêm HTML độc hại, dẫn đến lỗ hổng cross-site scripting trong một số trường hợp nhất định”, Drupal cho biết.

    Một lỗ hổng quan trọng khác chỉ ảnh hưởng đến Drupal 8, cho phép người dùng có quyền đăng bình luận xem nội dung và các bình luận mà họ không được phép truy cập. Điểm yếu này cũng có thể bị khai thác để thêm bình luận vào nội dung hạn chế.

    Dù những vấn đề này được đánh giá “nghiêm trọng”, cần lưu ý rằng các nhà phát triển Drupal sử dụng hệ thống Common Misuse Scoring System của NIST để xác định mức độ rủi ro, nghĩa là mức “nguy hiểm” chỉ đứng sau mức “cực kỳ nguy hiểm”.

    Cập nhật mới nhất của Drupal 7 cũng vá hai lỗ hổng nguy hiểm vừa phải. Một trong số đó, mà các nhà phát triển cho rằng chỉ xảy ra nếu cấu hình của một trang web không bình thường, là một vấn đề vượt qua truy cập, có thể cho phép người dùng xem hoặc tải các tập tin trên hệ thống tập tin cá nhân mà Drupal không có kiểm tra xem họ có quyền truy cập hay không.

    Lỗ hổng nguy hiểm vừa phải thứ hai trong Drupal 7 là vấn đề jQuery XSS khi thực hiện các truy vấn Ajax đến các miền không đáng tin cậy. Drupal 8 không bị ảnh hưởng vì jQuery đã được cập nhật lên phiên bản mới hơn với phát hành Drupal 8.4.0.

    Hai lỗi an ninh nguy hiểm vừa phải cũng đã được khắc phục trong Drupal 8, bao gồm lỗ hổng vượt qua truy cập liên quan đến dự phòng ngôn ngữ trên các trang đa ngôn ngữ và một lỗ hổng vượt qua truy cập trong mô đun Settings Tray cho phép người dùng cập nhật dữ liệu nh ất định mà không cần các quyền cần thiết.

    Cuối cùng, Drupal 7 vá lỗ hổng tiêm liên kết bên ngoài “ít quan trọng” hơn, có thể cho phép kẻ tấn công lừa người dùng điều hướng đến một trang web độc hại.

    Các nhà phát triển Drupal đã thông báo cho người dùng rằng phiên bản 8.4.5 là phiên bản mới nhất của loạt 8.4.x. Người dùng sẽ phải cập nhật lên Drupal 8.5.0, dự kiến sẽ có vào ngày 7 tháng 3 để nhận các bản sửa lỗi và các vá an ninh.

    Theo Security Week

    Bài Viết Mới

    Lý do Galaxy Tab S7/S7+ là tablet đáng mua nhất phân khúc

    Galaxy Tab S7/ S7+ là những sản phẩm đáng mua nhất trong thế giới máy tỉnh bảng Android ở thời điểm hiện tại.

    Cách khắc phục các lỗi thường gặp trên iPhone

    Không có gì đáng thất vọng hơn một chiếc iPhone hoạt động không ổn định như bạn mong đợi. Các ứng dụng...

    Samsung giới thiệu Galaxy S20 FE tại Việt Nam giá 16 triệu đồng

    Samsung vừa âm thầm giới thiệu mẫu Galaxy S20 FE tại thị trường Việt Nam với nhiều tuỳ chọn màu sắc và màn hình tần số quét 120Hz cùng mức giá 15.990.000VNĐ.

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Related Stories

    Stay on op - Ge the daily news in your inbox