このページで: [隠れる]
あなたのウェブサイトはDrupalで実行されていますか? もしそうなら, 注意してください, セキュリティ研究者がシステムのセキュリティ上の弱点を発見したため、すぐにパッチを適用する必要があります. 脆弱性, CVE-2020-13671は重要であり、悪用に成功するとサイトの乗っ取りにつながる可能性があります. あなたのウェブサイトが実際にDrupalで実行されている場合, また、欠陥を利用した攻撃の試みを監視する必要があります.
CVE-2020-13671Drupalサイトのクリティカルホール
その公式の説明によると, 標準リリースのDrupalコアは、アップロードされたファイルの特定のファイル名を正しくサニタイズしないため、この欠陥が存在します. この脆弱な状態により、ファイルの拡張子が正しくないと解釈され、誤ったMIMEタイプとして機能する可能性があります。. ハッカーは、特定のホスティング構成のためにこれらのファイルをPHPとして実行することもできます. CVE-2020-13671の脆弱性はDrupalコアに影響します 9.0 以前のバージョン 9.0.8, 8.9 以前のバージョン 8.9, 8.8 以前のバージョン 8.8.11, と 7 以前のバージョン 7.74.
言い換えると, 悪意のあるファイルも上記のように解釈される可能性があります. 幸運, 修正はすでに利用可能です, およびWebサイト管理者は、Drupal構成をできるだけ早くアップグレードする必要があります. Drupalは、欠陥が野生で悪用されたかどうかを確認していません, ただし、管理者は以前にアップロードしたファイルを監査して、悪意のある拡張子がないかどうかを確認する必要があります. どこを見ればいいのかわからない場合, 複数の拡張子を含むファイルを探す, filename.php.txtやfilename.html.gifなど, アンダースコアなし (_) 拡張子で.
「次のファイル拡張子に特に注意してください, これは、1つ以上の追加の拡張機能が続く場合でも危険であると見なされるべきです: ファー, php, pl, py, cgi, asp, js, html, htm, phtml. このリストは網羅的ではありません, したがって、ケースバイケースで、他の非接続拡張機能のセキュリティ上の懸念を評価します,」 Drupalはその勧告で述べました.
Drupalの詳細
Drupalは無料のオープンソースCMSです. これは、WordPressに次ぐ4番目に一般的なコンテンツ管理システムです。, Shopify, とJoomla. Drupalを実行しているサイトに対する攻撃は過去に発生しました. あなたのウェブサイトがこのCMSで実行されている場合, Drupalバージョン7.xは来年11月に寿命に達することに注意してください. 手遅れになる前にアップグレードの計画を開始することをお勧めします.
最近, いくつかの脆弱性について書きました 何百万ものWordPressサイトを危険にさらす. インストールされているすべてのプラグインを確認することを忘れないでください, ウィジェット, およびその他のアプリ, そして、それらが可能な限り最新のバージョンで実行されていることを確認してください. このルールはすべてのコンテンツ管理システムに適用されます.