Drupal, một trong những mã nguồn mở hệ thống quản lý nội dung được sử dụng rộng rãi đã khuyến cáo người sử dụng cập nhật phần mềm của họ lên các phiên bản mới nhất 6.35 và 7,35 sau khi công ty đã phát hiện hai lỗ hổng quan trọng có thể cho phép kẻ tấn công hack các trang web Drupal.

 Theo một cố vấn an ninh, một lỗ hổng tìm thấy trong Drupal có thể cho phép một hacker tiềm năng trong những hoàn cảnh nhất định vượt qua những hạn chế bảo mật bằng cách bypass reset pasword.

 ACCESS BYPASS / PASSWORD RESET URLs dễ bị tổn thương, các hacker có thể bypass và truy cập trái phép vào tài khoản người dùng mà không cần mật khẩu.

 Lỗ hổng này khá nguy hiểm, trong đó kẻ tấn công có thể lừa người dùng website, quản trị viên website và tung ra 1 URL độc hại để kiểm soát các máy chủ.

 Vấn đề thực sự nghiêm trọng vì Drupal được sự dụng khá phổ biến trên thế giới. Chính vì vậy Drupal đã phát hành phiên bản vá lỗi ngay lập tức.

Khuyến cáo

- Nhà phát hành Drupal khuyến cáo người sử dụng cập nhât lên phiên bản mới nhất là Drupal core 6.35 và Drupal core 7,35
- Chạy tất cả các phần mềm như là một người dùng không có đặc quyền (không có quyền quản trị) để giảm bớt những ảnh hưởng của một cuộc tấn công.
Không bấm vào các liên kết từ các nguồn không rõ.
- Không nên mở file đính kèm email từ các nguồn không rõ hoặc không tin cậy.
- Xem xét việc thực hiện danh sách cho phép mở rộng tập tin cho phép file đính kèm e-mail.

Đăng nhận xét Blogger

 
Top