Bug sumber terbuka menimbulkan ancaman kepada laman web yang menjalankan pelbagai CMS

Tapak-tapak web yang menjalankan sistem pengurusan kandungan Drupal, Joomla, atau Typo3 terdedah kepada serangan yang mungkin dapat melaksanakan kod jahat sehingga pentadbir memasang patch, pemaju dan penyelidik keselamatan yang dibebaskan.

Kerentanan berada di PharStreamWrapper, komponen PHP yang dibangunkan dan sumber terbuka oleh pembuat CMS Typo3. Diindeks sebagai CVE-2019-11831, cacatnya berpunca dari pepijat jalan-traversal yang membolehkan penggodam untuk menukar arsip phar sah laman web yang berniat jahat. Sebuah arkib phar digunakan untuk mengedarkan aplikasi PHP atau pustaka lengkap dalam satu fail, dalam banyak cara fail arkib Java mengagihkan banyak fail Java ke satu fail tunggal.

Dalam nasihat yang disiarkan Rabu, pemaju Drupal menilai tahap keterukan kerentanan yang mempengaruhi CMS mereka sebagai kritikal yang sederhana. Itu jauh di bawah penarafan yang sangat kritikal terhadap kelemahan Drupal dan kelemahan pelaksanaan jauh sebelum ini yang menggunakan nama "Drupalgeddon." Namun, kerentanan itu mencukupi risiko yang perlu diselesaikan oleh pentadbir secepat mungkin.

"Keadaan kerentanan [pharStreemWarapper] menjadikan ia bergantung kepada konteks," kata Daniel le Gall, seorang penyelidik yang mendapati kelemahan itu, memberitahu Ars. "Saya mendapati kelemahan ini pada Drupal, dan itu satu-satunya platform yang saya menilai tahap keterukan. Saya sedang bercakap dengan Drupal untuk menjadikannya 'kritikal' bukannya 'sederhana kritikal,' tetapi keputusan akhir berada di tangan mereka."

Seorang penyelidik di SCRT SA di Switzerland, le Gall mengatakan kalkulusnya sendiri menggunakan kaedah penarafan keparahan yang diterbitkan oleh Drupal yang menyebabkannya menjadi penentu kerentanan harus dinilai kritikal. Namun, beliau bersetuju bahawa CVE-2019-11831 berada jauh di bawah ambang pepijat Drupal sebelumnya, yang boleh dieksploitasi oleh pengguna akhir yang tidak berpengalaman yang melawat tapak terdedah.

"Untuk laman web Drupal lalai tanpa plugin, ia memerlukan [laman web] untuk mempunyai pengguna dengan 'Uruskan tema' yang betul, yang merupakan prasyarat yang tinggi," katanya. Itu bermakna penyerang perlu mempunyai keistimewaan pentadbir terhad, seperti yang diberikan kepada orang pemasaran atau pereka grafik.

"Bagaimanapun, beberapa modul komuniti mungkin terdedah kerana kecacatan ini dalam Core Drupal," katanya. "Setelah keistimewaan ini diperoleh, cacat itu cukup mudah untuk dieksploitasi, namun, dan secara efektif membawa kepada pelaksanaan kod jauh."

Sementara itu, pengembang Joomla, mengeluarkan nasihat sendiri pada hari Rabu yang menilai keterukan rendah. Pemaju Typo3 tidak memberikan penilaian keterukan untuk CMS mereka sendiri.

Tapak yang dijalankan:

  • Drupal 8.7 perlu dikemaskini kepada 8.7.1
  • 8.6 atau lebih awal harus dikemaskini kepada 8.6.16
  • 7 perlu dikemaskini kepada 7.67

Mengenai Joomla, cacat itu mempengaruhi versi 3.9.3 hingga 3.9.5. Pembetulan boleh didapati dalam 3.9.6.

Pengguna CMS Typo3 harus menaik taraf kepada versi PharStreamWapper v3.1.1 dan v2.1.1 secara manual atau memastikan dependensi Komposer dinaikkan kepada versi tersebut.

Tonton video itu: Suspense: Mortmain Quiet Desperation Smiley (Disember 2019).