آسیب پذیری بسیار بحرانی و جدی در هسته ی دروپال با مشخصه امنیتی SA-CORE-2018-002
پروژه : هسته ی دروپال
تاریخ : ۲۸ مارس ۲۰۱۸
ریسک امنیتی : بسیار بحرانی و پرخطر
نوع آسیب پذیری : اجرای کد از راه دور
Remote Code Execution
توضیحات : CVE: CVE-2018-7600
اخیرا مشکل امنیت با درجه اهمیت بسیار حیاتی در سیستم مدیریت محتوای drupal ایجاد شده است که به نفوذ گر امکان اجرای کدهای مخرب از راه دور را خواهد داد . این آسیب پذیری که در نسخه های ۷ و۸ دروپال وجود دارد بدون نیاز به احراز هویت رخ میدهد و نفوذ گران براحتی می توانند تمامی وب سایت شما را در اختیار بگیرند.
راه حل : ارتقا نسخه ی دروپال به آخرین نسخه ۷ و ۸
اگر از نسخه ی ۷.x استفاده میکنید آن را به Drupal 7.58 ارتقا دهید . چنانچه در حال حاضر ارتقا به این نسخه امکان پذیر نمی باشد از وصله ی امنیتی (patch) استفاده نمایید. پیشنهاد میشود در اسرع وقت حتما نسخه ی دروپال خود را آپدیت نمایید .
چنانچه از نسخه ی ۸.۵.x استفاده میکنید آن را با نسخه ی ۸.۵.۱ جایگزین کنید. همچنین اگر در حال حاضر امکان تغییر نسخه ی دروپال فعلی موجود نمیباشد از این وصله ی امنیتی استفاده کنید . پیشنهاد میشود در اولین فرصت از نسخه ی ۸.۵.۱ استفاده کنید .
گفته شده است نسخه های دروپال ۸.۳.x و ۸.۴.x دیگر پشتیبانی نمیشوند و وصله های امنیتی برای نسخه ی جزیی ارائه نمیشود اما با توجه به حیاتی بودن این باگ امنیتی پچ امنیتی برای نسخه ها ی ۸.۳.x و ۸.۴.x ارایه شده است که حاوی اصلاحیه هایی است برای سایت هایی که تا به حال به نسخه ی ۸.۵.۰ به روز رسانی نشده اند .
در صفحه ی به روز رسانی سایت شما نسخه ی ۸.۵.x توصیه شده است (حتی اگر شما از نسخه ی ۸.۳.x یا ۸.۴.x استفاده کرده باشید.) لطفا پس از نصب این به روز رسانی امنیتی در اسرع وقت نسخه ی دروپال خود را به یکی از نسخه هایی که در حال حاضر پشتیبانی میشوند ارتقا دهید .
چنانچه از نسخه ی ۸.۳.x استفاده میکنید آن را به دروپال ۸.۳.۹ ارتقا دهید و یا از این وصله ی امنیتی استفاده کنید .
چنانچه از نسخه ی امنیتی ۸.۴.x استفاده میکنید آن را به نسخه ی امنیتی ۸.۴.۶ ارتقا دهید و یا از این وصله ی امنیتی استفاده کنید .
همچنین این مساله در دروپال ۸.۲.x و قبل از آن موثر میباشد که دیگر پشتیبانی نمیشوند . اگر شما از هرکدام از این نسخه های دروپال ۸ را استفاده میکنید به جدیدترین نسخه آن را ارتقا دهید و دستور العمل های بالا را دنبال کنید .
لازم به ذکر است این مساله برای نسخه ی ۶ دروپال موثر میباشد . از آنجا که دروپال ۶ رو به انقراض است جهت کسب اطلاعات بیشتر در مورد پشتیبانی از دروپال ۶ با آی دی D6LTS در تماس باشید.
در صورتی که تمایل دارید بروز رسانی توسط تیم امنیت میهن هاستینگ انجام شود. و یا احتمال میدهید که بروز رسانی همراه با خطا وریسک باشد. لطفا یک تیکت به بخش امنیت میهن هاستینگ ارسال نمایید.
در صورتی که وب سایت شما هک شده است . تیکتی به بخش امنیت میهن هاستینگ ارسال نمایید تا پاکسازی وبسایت شما را برای شما انجام دهند.
