يشكل خلل المصدر المفتوح تهديدًا للمواقع التي تشغّل CMSes متعددة

المواقع الإلكترونية التي تدير أنظمة إدارة المحتوى Drupal أو Joomla أو Typo3 معرضة للهجمات التي يمكن أن تنفذ تعليمات برمجية ضارة حتى يقوم المسؤولون بتثبيت تصحيحات تم إصدارها للتو ، كما حذر المطورون والباحثون الأمنيون.

توجد مشكلة عدم الحصانة في PharStreamWrapper ، وهو مكون PHP تم تطويره ومصدره مفتوحًا بواسطة CMS الخاص بـ Typo3. تتم فهرستها على أنها CVE-2019-11831 ، وينبع الخلل من خطأ اجتياز المسار الذي يسمح للمتسللين بتبديل أرشيف phar الشرعي الخاص بالموقع بأحد البرامج الضارة. يتم استخدام أرشيف phar لتوزيع تطبيق أو مكتبة PHP كاملة في ملف واحد ، إلى حد كبير ، حيث يقوم ملف أرشيف Java بتجميع العديد من ملفات Java في ملف واحد.

في تقرير استشاري نشر يوم الأربعاء ، صنف مطورو دروبال مدى خطورة مشكلة عدم الحصانة التي تؤثر على نظام إدارة المحتوى (CMS) على أنه حرج بدرجة متوسطة. هذا أقل بكثير من التصنيف الحرج للغاية لضعف دروبال الأخير وأخطاء التنفيذ عن بعد السابقة التي تحمل اسم "دروبالجدون". ومع ذلك ، تمثل مشكلة عدم الحصانة ما يكفي من المخاطرة التي يجب على المسؤولين تصحيحها في أقرب وقت ممكن.

وقال دانييل لو جال ، الباحث الذي اكتشف الثغرة الأمنية ، لآرس: "طبيعة الضعف [pharStreemWarapper] تجعله يعتمد على السياق". "لقد وجدت مشكلة عدم الحصانة هذه على دروبال ، وهذا هو المنبر الوحيد الذي قمت بتقييم الخطورة فيه. أتحدث حاليًا مع دروبال لجعلها" حرجة "بدلاً من" حرجة إلى حد ما "، لكن القرار النهائي في أيديهم."

باحث في SCRT SA في سويسرا ، قال لو جال إن حساب التفاضل والتكامل الخاص به باستخدام طريقة تصنيف الشدة المنشورة لدى دروبال أدى به إلى تحديد درجة الضعف التي يجب أن تكون حرجة. ومع ذلك ، وافق على أن CVE-2019-11831 كان أقل بكثير من عيوب دروبال السابقة ، والتي يمكن استغلالها من قبل المستخدمين النهائيين غير المميزين الذين يزورون موقعًا عرضة للخطر.

"بالنسبة إلى Drupal الافتراضي [site] بدون مكونات إضافية ، فإنه يتطلب [الموقع] أن يكون هناك مستخدم لديه" سمة الإدارة "، وهو شرط أساسي مسبق" ، قال. هذا يعني أن المهاجم يجب أن يكون لديه امتيازات مسؤول محدودة ، مثل تلك الممنوحة لتسويق الأشخاص أو مصممي الغرافيك.

"ومع ذلك ، قد تكون بعض الوحدات المجتمعية عرضة للخطر بسبب هذا الخطأ في دروبال كور" ، أضاف. "بمجرد الحصول على هذه الامتيازات ، يكون من السهل استغلال الخلل ، ويؤدي فعليًا إلى تنفيذ التعليمات البرمجية عن بُعد."

وفي الوقت نفسه ، أصدر مطورو جملة جملةً استشارية خاصة بهم يوم الأربعاء والتي صنفت درجة الخطورة المنخفضة. لم يوفر مطورو Typo3 تصنيفًا خطيرًا لنظام إدارة المحتوى الخاص بهم.

المواقع التي تعمل:

  • يجب تحديث دروبال 8.7 إلى 8.7.1
  • 8.6 أو الأقدم يجب تحديث إلى 8.6.16
  • يجب تحديث 7 إلى 7.67

في جملة ، يؤثر الخلل على الإصدارات من 3.9.3 إلى 3.9.5. الإصلاح متوفر في 3.9.6.

يجب أن يقوم مستخدمو Typo3 CMS بالترقية إلى إصدارات PharStreamWapper v3.1.1 و v2.1.1 يدويًا أو التأكد من رفع تبعيات الملحن إلى تلك الإصدارات.

شاهد الفيديو: طريقة حل مشاكل المتصفحات : باعادتها الى وضعها الافتراضي (أبريل 2020).