Drupal vá lỗ hổng thực thi mã từ xa CVE-2020-13671

Hạnh Tâm| 22/11/2020 11:16
Theo dõi ICTVietnam trên

Nhóm phát triển Drupal đã phát hành bản cập nhật bảo mật để xử lý lỗ hổng thực thi mã từ xa có số hiệu CVE-2020-13671.

Nhóm phát triển hệ thống quản trị nội dung Drupal đã đưa ra bản cập nhật bảo mật để xử lý lỗ hổng thực thi mã từ xa liên quan đến việc không làm sạch tên của các tệp tin được tải lên.

Lỗ hổng có số hiệu là CVE-2020-13671, được xếp vào mức độ nguy cấp theo hệ thống tính điểm lỗi bảo mật thông thường của Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ (NIST).

Lỗ hổng có thể bị những kẻ tấn công khai thác bằng bằng cách tải các tệp tin có một số phần mềm mở rộng nhất định như (phar, php, pl, py, cgi, html, htm, phtml, js, and asp) lên máy chủ để thực thi mã từ xa.

Drupal vá lỗ hổng thực thi mã từ xa CVE-2020-13671 - Ảnh 1.

Drupal cho biết: "Drupal Core (lõi nhân Drupal) không xử lý đúng cách trong việc làm sạch tên những tệp tin được tải lên. Điều này có thể dẫn đến các tệp tin được hiểu như một phần mở rộng không đúng và được gửi đi như một kiểu MIME (Multipurpose Internet Mail Extensions - một chuẩn Internet về định dạng cho thư điện tử) bị lỗi hoặc thực thi như một ngôn ngữ lập trình PHP (Personal Home Page) cho một số cấu hình lưu trữ nhất định".

Nhóm phát triển đã xử lý lỗi trong Drupal 7, 8 và 9 với việc phát hành các phiên bản 7.74, 8.8.11, 8.9.9 và 9.0.8.

Các chuyên gia đã báo cáo lỗ hổng tới nhóm bảo mật bao gồm: ufku; Mark Ferree; Frédéric G. Marand; Samuel Mortenson của nhóm bảo mật Drupal; Derek Wright.

Nhóm phát triển khuyến nghị người dùng kiểm tra các máy chủ của họ để tìm các tệp tin có nhiều phần mở rộng, chẳng hạn như filename.php.txt hoặc filename.html.gif.

Vào tháng 3, nhóm phát triển đã đưa ra các bản cập nhật bảo mật cho phiên bản 8.8.x và 8.7.x để xử lý hai lỗ hổng XSS gây ảnh hưởng tới thư viện CKEditor. Vào tháng 5, họ cũng đã xử lý lỗ hổng XSS và các lỗ hổng chuyển hướng mở. Sang tháng 6 họ lại phát hành các bản cập nhật bảo mật để xử lý nhiều lỗ hổng bảo mật, bao gồm một lỗ hổng "nguy cấp" là CVE-2020-13664 có thể bị kẻ tấn công lợi dụng để thực thi mã PHP tùy ý. Vào tháng 9, các nhà bảo trì của Drupal đã xử lý một số lỗ hổng gây lộ lọt thông tin và các lỗ hổng SXX trong hệ thống quản lý nội dung phổ biến (CMS).

Nổi bật Tạp chí Thông tin & Truyền thông
  • Phong trào "Bình dân học vụ số" là mệnh lệnh của trái tim
    Nếu chúng ta nhận thức khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số là yêu cầu khách quan, lựa chọn chiến lược, ưu tiên hàng đầu trong giai đoạn cách mạng hiện nay thì không thể không nói đến xã hội số, quốc gia số và công dân số toàn diện, toàn trình; từ đó, không thể không có phong trào "Bình dân học vụ số".
  • 5 cơ quan báo chí chính trị chủ lực sắp xếp tinh gọn bộ máy
    5 cơ quan báo chí chính trị chủ lực đã xây dựng kế hoạch và triển khai thực hiện sắp xếp tinh gọn bộ máy.
  • FPT đồng hành cùng Đà Nẵng trở thành trung tâm công nghệ của khu vực
    Ngày 26/3, trong khuôn khổ triển lãm “Đà Nẵng - 50 năm phát triển và hội nhập”, FPT trưng bày gian hàng “Đột phá công nghệ - Thu hút nhân tài”, cam kết đồng hành và giúp Đà Nẵng trở thành trung tâm công nghệ của khu vực.‏
  • Doanh nghiệp công nghệ Việt Nam vươn tầm thế giới
    Trong những năm gần đây, Việt Nam đang xây dựng và dần khẳng định vị thế của mình trên bản đồ công nghệ số thế giới, với tốc độ tăng trưởng mạnh mẽ, lực lượng lao động trẻ, và chiến lược chuyển đổi số toàn diện do Chính phủ thúc đẩy. Với mục tiêu đưa kinh tế số chiếm 30% GDP vào năm 2030, Việt Nam đang không ngừng vươn mình để trở thành một trong những trung tâm công nghệ mới của thế giới.
  • Ba lưu ý khi lựa chọn nhà cung cấp AI
    Để triển khai AI hiệu quả, bên cạnh việc lựa chọn giải pháp AI phù hợp, tiết kiệm thì lựa chọn nhà cung cấp AI uy tín có vai trò rất quan trọng.
Đừng bỏ lỡ
Drupal vá lỗ hổng thực thi mã từ xa CVE-2020-13671
POWERED BY ONECMS - A PRODUCT OF NEKO