تیم توسعه دروپال بهروزرسانی امنیتی را برای رفع آسیبپذیری اجرای کد از راه دور منتشر کرده است. این آسیبپذیری ناشی از عدم فیلتر (sanitize) دقیق نام فایلهای آپلودی میباشد. این آسیبپذیری که با شناسه CVE-2020-13671 پیگیری میشود، بر اساس سیستم امتیاز دهی استاندارد NIST Common Misuse Scoring System در دستهبندی شدت اهمیت بحرانی قرار دارد.
برای رفع این آسیبپذیری کافیست آخرین نسخه دروپال نصب شود.
• اگر از نسخههای سری 9.0 از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 9.8.0 از دروپال بهروزرسانی کنید.
• اگر از نسخههای سری 8.9 از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 8.9.9 از دروپال بهروزرسانی کنید.
• اگر از نسخه 8.8 از دروپال یا نسخههای قبلتر از این نسخه استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه 8.8.11 از دروپال بهروزرسانی کنید.
• اگر از نسخههای سری 7از دروپال استفاده میکنید، سیستم مدیریت محتوای خود را به نسخه7.74 بهروزرسانی کنید.
نسخههای سری 8 از دروپال که پیش از انتشار نسخههای 8.8.x منتشرشدهاند، منسوح شده هستند و تیم دروپال امنیت این نسخهها از دروپال را پشتیبانی نمیکند. تیم دروپال همچنین توصیه کرده است تا تمام فایلهایی که پیش از بهروزرسانی در سامانه آپلود شدهاند با هدف شناسایی پسوندهای مخرب بررسی شوند. به ویژه در جستوجوی فایلهایی با دو پسوند مانند filename.php.txt یا filename.html.gif باشید که شامل (_) در پسوند نباشند. در مواردی که فایلهای آپلود شده دارای یک یا چند پسوند از پسوندهای ذکر شده در ذیل باشد؛ لازم است، این فایل با دقت بیشتری بررسی شود.
• Phar
• phtml
• php
• pl
• py
• cgi
• asp
• js
• html
• htm
توجه کنید این لیست جامع نیست، بنابراین هر پسوند غیر مجازی با دقت بررسی شود.
منبع:
- 14