Предыдущее обновление Drupal не затрагивало вопросов безопасности, однако следующим патчем они решили наверстать упущенное.
Обновление ядра под названием SA-CORE-2016-001 закрывает дыры в Drupal 6.x, 7.x, 8.x
Предлагается обновиться до версий Drupal 8.0.4, 7.43, and 6.38 соответственно. Одно важное замечание, Drupal 6 достиг так называемого конца жизни (end of life (EOL)), и теперь для него не будут выходить обновления и больше не будет поддерживаться ветка 6.х
Рассмотрим более детально список уязвимостей:
- Умеренно критическая уявимость при загрузке файлов в модуле файлов (друпал 7 и 8). Реализуется при условии, что создание контента или его комментирование с возможностью загружать файлы. Атака заключается в возможности изменять ссылку на файл, просматривать а также удалять файлы посторонних пользователей, до того момента, как нажата кнопка Submit при отправке формы. При непрерывной атаке возможно удаление временных файлов загрузки, что в итоге не даст возможности пользователям загружать файлы.
- Атака перебором через XML-RPC (Drupal 6 и 7). Дополнительно должен быть включен данный модуль, который позволял злоумышленникам интерпретировать множество схожих запросов как один ( к примеру разные вариации паролей пользователей). Это делает уязвимым сайт к брутофорсу (BruteForce).
- Редирект на сторонние сайты ( все версии друпал). Атака происходит при вводе специального сгенерированного URL в форму обратной связи на странице ошибки 404.
- API форм игнорирует ограничения доступа на кнопки отправки (друпал 6 - критическая уязвимость). Обойти ограничение, выставляемое на стороне сервера #access можно к примеру простым Javascript.
- Инъекция в HTTP заголовки используя разрывы строк (Drupal 6 - умеренная уязвимость). Функция drupal_goto () в Drupal 6 ещё до использования неправильно декодирует содержимое переменной $ _REQUEST['destination'], что позволяет злоумышленникам использовать редирект на произвольный внешний адрес. Надо принять во внимание, что уязвимость актуальна для версий PHP 5.4.6 и меньше.
- Уязвимость "Reflected file download" (Drupal 6 and 7). Позволяет скачивать и запускать файл с зашифрованным JSON-контентом. Исключением является, что пользователь должен обладать определенными администраторскими привилегиями, а также использовать определенные браузеры.
- Сохранение аккаунтов пользователей может в некоторых случаях приводить к наделению полных прав (Друпал 6 и 7). Объясняется это специфичностью user_save() API, отличающееся по манере кода от ядра.
- Адреса электронной почты могут быть сопоставлены с учетной записью (модуль пользователя - Drupal 7 и 8 - менее критично). При конфигурации, где адреса электронного ящика могу быть использованы для авторизации, при переходе по ссылке "Забыли пароль?" можно раскрыть имя пользователя.
- Удаленнон выполнение кода может быть реализовано в друпале 6. В некоторых случаях, данные предоставленные пользователем, могут быть преобразованы в php (unserialize), а значит и исполнены. Примечательно, что это уязвимость многих версий PHP до 5.4.45, 5.5.29, 5.6.13
Хоть большинство уязвимостей не предоставляют угрозы для взлома сайта, настоятельно рекомендуется не задерживать с обновлением версий Drupal. Владельцам 6-й ветки стоит задуматься над миграцией на более обновляемые и современные версии.