شناسایی ضعف‌های امنیتی در Drupal - فن آوری اطلاعات - اخبار

شناسایی ضعف‌های امنیتی در Drupal

دسته : فن آوری اطلاعات در تاريخ ۱۳۸۷/۸/۷ ۹:۱۱:۱۶ (937 بار خوانده شده)
دروپال نرم‌افزاری رایگان و مبتنی بر کد‌باز برای مدیریت محتوا، توسعه برنامه‌های کاربردی مبتنی بر وب و ایجاد بلاگ است.


تیم امنیتی FrSIRT در گزارش شماره FrSIRT/ADV-2008-2913 خود که دوشنبه 27 اکتبر (شش آبان) منتشر کرد، از شناسایی چندین ضعف امنیتی نیمه‌خطرناک در Drupal خبر داده است.

هکرها با استفاده از این آسیب‌پذیری‌ها می‌توانند تمهیدات امنیتی را دور زده و به اطلاعات حساس و باارزش دست یابند.

بروز یک خطا به هنگام اجرای برنامه بر سروری که برای میزبان‌های مجازی IP-based تنظیم شده، عامل ایجاد نقص اول عنوان شده است. در این حالت این امکان وجود دارد که فایل‌های دلخواه، خارج از دایرکتوری ریشه اجرا گردد.

دومین مشکل از بروز خطای input¬ validation به هنگام پردازش عناوین book pages ناشی شده و مجرمان سایبر با استفاده از این خطا می‌توانند با فراهم کردن دسترسی "create book content" برای خود، یا ایجاد دسترسی ویرایش نودها در book hierarchy، اسکریپت‌های دلخواه را اجرا نمایند.

این آسیب‌پذیری‌ها که هم به صورت Locally و هم به صورت Remotely می‌تواند دستمایه سوءاستفاده هکرها واقع شود، توسط Anthony Ferrara و Maarten van Grootel گزارش شده است.

باگ‌های یادشده برای Drupal versions prior to 5.12 و Drupal versions prior to 6.6 گزارش شده و راه‌حل آن نیز عبارت است از: به‌روزرسانی به نسخه Drupal 5.12 یا دریافت بسته‌های تکمیلی از http://drupal.org/files/sa-2008-067/SA-2008-067-5.11.patch و نیز به‌روزرسانی به Drupal 6.6 و دریافت patch از آدرس http://drupal.org/files/sa-2008-067/SA-2008-067-6.5.patch.

گفتنی است دروپال به زبان برنامه‌نویسی PHP نوشته شده است ولی برای مدیریت وب‌سایت‌های مبتنی بر دروپال نیازی به دانستن این زبان نیست.