Vývojáři oblíbeného systému pro správu obsahu Drupal pracují na zabezpečení jeho aktualizačního mechanismu poté, co v něm byly nedávno odhaleny slabiny.
Výzkumníci bezpečnostní společnosti IOActive před nedávnem zveřejnili několik nedostatků v aktualizačním mechanismu Drupalu, mimo jiné chybějící šifrování, chybu typu cross-site request forgery (CSRF) a další. Útočníci mohli zachytávat datový provoz mezi stránkami založenými na Drupalu a oficiálními servery Drupalu a do aktualizací propašovat zadní vrátka.
Bezpečnostní tým Drupalu byl naštěstí informován v předstihu a pracuje na opravě nedostatků. V uplynulých dnech zapnuli podporu HTTPS, aby proces aktualizace jádra i jednotlivých modulů Drupalu probíhal zabezpečeně.
Další opravy a vylepšení se objeví v následující aktualizaci. Prozatím mohou administrátoři využít k aktualizacím HTTPS připojení prostřednictvím příkazové řádky a skriptovacího rozhraní Drush, případně ručně stahovat aktualizační balíky z příslušných projektových stránek.
Problém s chybějícím upozorňováním na selhání aktualizace a chyba CSRF zatím vyřešeny nejsou, ale bezpečnostní tým Drupalu pro ně otevřel sledovací tickety a požádal vývojáře, aby zasílali záplaty.
PŘEDPLATNÉ
ČLÁNKY DO MAILU