В Drupal устранена опасная уязвимость, позволяющая завладеть учетной записью администратора

Для успешной атаки жертва должна иметь учетную запись у определенного OpenID-провайдера.
В новой версии популярной системы управления контентом Drupal был устранен ряд уязвимостей, из которых лишь одна (CVE-2015-3234) получила критический рейтинг опасности. По данным разработчиков, брешь позволяет атакующему удаленно захватить контроль над чужой учетной записью с административными правами доступа.
«Уязвимость, выявленная в модуле OpenID, позволяет потенциальному злоумышленнику авторизоваться в системе от имени администратора, - следует из уведомления разработчиков. Вместе с тем, для успешной атаки жертва должна иметь учетную запись, ассоциированную с OpenID-провайдером (к примеру, Verisign, LiveJournal, StackExchange и рядом других)».
Три другие уязвимости в Drupal имеют меньший рейтинг опасности из-за того, что применить их в ходе нападения на порядок сложнее. Тем не менее, потенциальный вред от эксплуатации этих брешей довольно высок. К примеру, ошибка в модуле Field UI позволяет злоумышленникам при соблюдении ряда условий использовать параметр «destinations» для перенаправления пользователя на произвольный web-сайт.
Разработчики Drupal рекомендуют установить исправления безопасности, обновив версию CMS до 6.36 или 7.38. 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор В Drupal устранена опасная уязвимость, позволяющая завладеть учетной записью администратора, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Обзор планшета Xiaomi Mi Pad 4 - 14.08.2018: STFW.Ru: Во времена когда смартфоны догоняют планшеты по диагонали дисплея, а сам


•  Представлен планшет Xiaomi Mi Pad 4 Plus: экран 10,1 дюйма, батарея 8620 мА•ч и цена $275 - 14.08.2018: STFW.Ru: Только вчера в сети появилась первая информация о готовящемся новом


•  После обновления до ОС Android 9.0 Pie некоторые смартфоны Google Pixel разучились быстро заряжаться - 14.08.2018: STFW.Ru: На прошлой неделе Google выпустила финальную версию операционной системы Android


•  Машинное обучение поможет установить личность анонимного кодера по его стилю - 14.08.2018: STFW.Ru: Специалисты в области стилометрии (исследование стилистики, включающее


•  В Украине стартовали продажи 4G-роутера TP-Link TL-MR6400 по цене 2799 грн - 14.08.2018: STFW.Ru: В Украине стартовали продажи 4G-маршрутизатора TP-Link TL-MR6400, который


•  «Точно не 11»: NVIDIA дразнит новыми игровыми видеокартами поколения Turing. Теперь точно известно, как они будут называться - 14.08.2018: STFW.Ru: Как известно, в рамках SIGGRAPH 2018 компания NVIDIA официально представила первых