 |
Muut verkkotunnukset myös meidän kautta
Tietoja kalastellaan verottajan nimissä
Verkkorikollisuus ja pimeä verkko - verkkorikollisille suunnatuilla palveluilla omat markkinansa
03 03 2016
Haavoittuvuuksia Drupal-julkaisujärjestelmässä ja Drupal 6 elinkaaren loppu
tietoturva, haavoittuvuudetPoikkeuksellisesti julkaisemme myös Drupal-haavoittumisuutisen, koska niin moni on sitä kysellyt:
Drupal-julkaisujärjestelmän versioista 6.x, 7.x ja 8.x on löydetty useita haavoittuvuuksia. Julkaistut päivitykset korjaavat löytyneet haavoittuvuudet. Drupal 6 -versiolle julkaistu päivitys jää viimeiseksi, eikä uusia päivityksiä enää julkaista.
Drupal-julkaisujärjestelmän 6.38, 7.43 ja 8.0.4 päivitykset korjaavat lukuisia haavoittuvuuksia, jotka voivat mahdollistaa esimerkiksi luvattoman tiedostojen latauksen, palvelunestotilan aiheuttamisen, uudelleenohjauksen manipuloinnin, HTTP-otsakkeiden manipuloinnin tai XML-RPC-järjestelmän väärinkäytön.
Drupal-kehitysryhmä on antanut haavoittuvuuksille tunnisteen: SA-CORE-2016-001. Haavoittuvuuksille ei ole vielä saatavissa CVE-numeroita.
Drupal 6 version elinkaari (EOL) loppui 24.2.2016, ja näin ollen julkaistu päivitys 6.38 jää version viimeiseksi päivitykseksi. Uusien haavoittuvuuksien ilmaantuessa Drupal 6 versiolle, ei uusia päivityksiä enää julkaista. Kaikki Drupal 6 -versiota käyttävät sivustot tulisi päivittää mahdollisimman nopeasti uudempiin versioihin.
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
- Muut
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Ilman kirjautumista
- Etäkäyttö
- Ilman käyttäjän toimia
Hyväksikäyttö
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Palvelunestohyökkäys
- Suojauksen ohittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot:
- Drupal core 6.x ennen ohjelmistoversiota 6.38
- Drupal core 7.x ennen ohjelmistoversiota 7.34
- Drupal core 8.x ennen ohjelmistoversiota 8.0.4
Ratkaisu- ja rajoitusmahdollisuudet:
Päivitä ohjelmistot versioihin Drupal:n kehittäjien ohjeiden mukaisesti:
- Drupal core 6.x versioon 6.38
- Drupal core 7.x versioon 7.34
- Drupal core 8.x versioon 8.0.4
Lisätietoa:
Päivityshistoria
- 25.02.2016 klo 11:54Julkaistu
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.