Popüler açık kaynak içerik yönetim sistemi Drupal yeni versiyonlarını yayınladı 6.36 ve 7.38 Bu açıkların listesini ayarlamak. yönetici hesapları üstlenir saldırgan dönüşür olarak bu güvenlik açıklarından biri olarak anlamlı gösterir.
OpenID Modülü CVE-2015-3234
Drupal güvenlik ekibi CVE-2015-3234 OpenID modülünde bulunmuştur ki, danışma işaret. Bu modül, diğer kullanıcılar gibi siteye girmek için kötü niyetli bir kullanıcı için erişim sağlar, Ayrıca yönetici olarak, ve hesaplarını hijacks. CVE-2015-3234 kusur kurban Verisign gibi OpenID sağlayıcılarının belirli bir dizi tanımlanmış OpenID durumu olan bir hesabı olmalıdır gerçeğiyle gönlünü edilir, LiveJournal veya Stack Exchange.
Uzmanlar ayrıca Drupal sürümleri Üç Diğer Az Kritik Boşluklar Bulundu mı
Bunlardan biri kusur CVE-2015-3232 olan. Bu Drupal kullanan web sitelerinin ilgili 7 Alan İD modülü. Bu güvenlik açığından etkilenen siteler yönetici sayfalarında bir eylem kapalı bittikten sonra potansiyel olarak zararlı üçüncü şahıs sitesine yönlendirin. Bu güvenlik açığı Drupal'i etkilemez 6 ancak içerik İnşaat Kit içeren benzer bir açık yönlendirme kusur kullanır (CCK).
Başka kusur CVE-2015-3233 olan. Bu ‘idari bindirmeyi erişmek sağladı web siteleri için başka açık direkt deliğe iletken kapak modülünde zayıf doğrulama kontrolleri ile ilgilidir’ JavaScript gibi sayfaları kapsayacak yetkilendirme.
Geçen açığı CVE-2015-3231 denir ve ayrıcalıklı olmayan birincil kullanıcısı görebilir kalır hassas verilerin saklanabileceği (kullanıcı 1). CVE-2015-3231 Siteye bir bilgi tespit deliği içinde 7. Bu Render Önbellek modülü veya aynı özel kodu kullanabilirsiniz sadece sitelerini etkiler, böylece delikten riski o kadar endişe verici değil. Sistem atanan kullanıcı tanır 1 Yönetici olmayan hesap olarak ve farklı bir varsayılan yapılandırmasını yapmak demektir.
Drupal geliştirici takımı versiyonlarına Drupal'i güncellemek için kullanıcılar önerir 6.36 ve 7.38.