Информационные технологии

В Drupal устранена опасная уязвимость, позволяющая завладеть учетной записью администратора

Для успешной атаки жертва должна иметь учетную запись у определенного OpenID-провайдера.
В новой версии популярной системы управления контентом Drupal был устранен ряд уязвимостей, из которых лишь одна (CVE-2015-3234) получила критический рейтинг опасности. По данным разработчиков, брешь позволяет атакующему удаленно захватить контроль над чужой учетной записью с административными правами доступа.
«Уязвимость, выявленная в модуле OpenID, позволяет потенциальному злоумышленнику авторизоваться в системе от имени администратора, - следует из уведомления разработчиков. Вместе с тем, для успешной атаки жертва должна иметь учетную запись, ассоциированную с OpenID-провайдером (к примеру, Verisign, LiveJournal, StackExchange и рядом других)».
Три другие уязвимости в Drupal имеют меньший рейтинг опасности из-за того, что применить их в ходе нападения на порядок сложнее. Тем не менее, потенциальный вред от эксплуатации этих брешей довольно высок. К примеру, ошибка в модуле Field UI позволяет злоумышленникам при соблюдении ряда условий использовать параметр «destinations» для перенаправления пользователя на произвольный web-сайт.
Разработчики Drupal рекомендуют установить исправления безопасности, обновив версию CMS до 6.36 или 7.38. 

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор В Drupal устранена опасная уязвимость, позволяющая завладеть учетной записью администратора, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Ученые назвали три этапа старения человека: 34, 60 и 78 лет - 9.12.2019: STFW.Ru: Ученые Стэнфордского университета выяснили, что старение человека проходит


•  Проект "Тайгафон" закрыт: Касперская потеряла 40 миллионов - 9.12.2019: STFW.Ru: Проект "Тайгафон" был запущен в 2014 г. назад. Идея устройства состояла в


•  Красивая девушка на военном вертолёте и коровья ферма - 9.12.2019: STFW.Ru: Красивая девушка на военном вертолёте Национальной гваридии. Коровья ферма


•  Гигантский самосвал с "вечным" двигателем - 9.12.2019: STFW.Ru: Вынув 23-литровое дизельное "сердце" и 780-литровый топливный бак из Komatsu


•  Росрыболовство: Российские верфи строят 43 промысловых судна для обновления флота - 9.12.2019: STFW.Ru: Российские верфи строят в настоящее время 43 рыболовецких судна для


•  Построенный в Петербурге корвет "Гремящий" вышел на госиспытания (Корабль оснащен крылатыми ракетами "Калибр") - 9.12.2019: STFW.Ru:   Первый корабль проекта 20385 "Гремящий" вышел на государственные