重大なセキュリティ上の欠陥に対して脆弱なDrupalサイト (CVE-2020-13671) - JA

重大なセキュリティ上の欠陥に対して脆弱なDrupalサイト (CVE-2020-13671) 記事画像あなたのウェブサイトはDrupalで実行されていますか? もしそうなら, 注意してください, セキュリティ研究者がシステムのセキュリティ上の弱点を発見したため、すぐにパッチを適用する必要があります. 脆弱性, CVE-2020-13671は重要であり、悪用に成功するとサイトの乗っ取りにつながる可能性があります. あなたのウェブサイトが実際にDrupalで実行されている場合, また、欠陥を利用した攻撃の試みを監視する必要があります.

CVE-2020-13671Drupalサイトのクリティカルホール

その公式の説明によると, 標準リリースのDrupalコアは、アップロードされたファイルの特定のファイル名を正しくサニタイズしないため、この欠陥が存在します. この脆弱な状態により、ファイルの拡張子が正しくないと解釈され、誤ったMIMEタイプとして機能する可能性があります。. ハッカーは、特定のホスティング構成のためにこれらのファイルをPHPとして実行することもできます. CVE-2020-13671の脆弱性はDrupalコアに影響します 9.0 以前のバージョン 9.0.8, 8.9 以前のバージョン 8.9, 8.8 以前のバージョン 8.8.11, と 7 以前のバージョン 7.74.

言い換えると, 悪意のあるファイルも上記のように解釈される可能性があります. 幸運, 修正はすでに利用可能です, およびWebサイト管理者は、Drupal構成をできるだけ早くアップグレードする必要があります. Drupalは、欠陥が野生で悪用されたかどうかを確認していません, ただし、管理者は以前にアップロードしたファイルを監査して、悪意のある拡張子がないかどうかを確認する必要があります. どこを見ればいいのかわからない場合, 複数の拡張子を含むファイルを探す, filename.php.txtやfilename.html.gifなど, アンダースコアなし (_) 拡張子で.

「次のファイル拡張子に特に注意してください, これは、1つ以上の追加の拡張機能が続く場合でも危険であると見なされるべきです: ファー, php, pl, py, cgi, asp, js, html, htm, phtml. このリストは網羅的ではありません, したがって、ケースバイケースで、他の非接続拡張機能のセキュリティ上の懸念を評価します,」 Drupalはその勧告で述べました.

Drupalの詳細

Drupalは無料のオープンソースCMSです. これは、WordPressに次ぐ4番目に一般的なコンテンツ管理システムです。, Shopify, とJoomla. Drupalを実行しているサイトに対する攻撃は過去に発生しました. あなたのウェブサイトがこのCMSで実行されている場合, Drupalバージョン7.xは来年11月に寿命に達することに注意してください. 手遅れになる前にアップグレードの計画を開始することをお勧めします.

最近, いくつかの脆弱性について書きました 何百万ものWordPressサイトを危険にさらす. インストールされているすべてのプラグインを確認することを忘れないでください, ウィジェット, およびその他のアプリ, そして、それらが可能な限り最新のバージョンで実行されていることを確認してください. このルールはすべてのコンテンツ管理システムに適用されます.

によって研究され、作成されました:
クルム・ポポフ
情熱的なウェブ起業家, 以来、Web プロジェクトを作成し続けています 2007. の 2020, 彼は、完璧な Web ホスティング ソリューションの検索を効率化することに特化した先見的なプラットフォーム、HTH.Guide を設立しました。. 続きを読む...
による技術レビュー:
メトディ・イワノフ
経験豊かな Web 開発エキスパート 8+ 長年の経験, ホスティング環境に関する専門知識を含む. 彼の専門知識により、コンテンツが最高の精度基準を満たし、ホスティング テクノロジーとシームレスに連携することが保証されます。. 続きを読む...

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

このサイトはreCAPTCHAとGoogleによって保護されています プライバシーポリシー利用規約 申し込み.

この Web サイトでは、ユーザー エクスペリエンスを向上させるために Cookie を使用しています. 当社のウェブサイトを使用することにより、当社の規定に従ってすべてのクッキーに同意したことになります プライバシーポリシー.
同意します
HTHガイドにて, 私たちは透明性のあるウェブホスティングレビューを提供します, 外部の影響からの独立性を確保する. すべてのレビューに厳格で一貫した基準を適用するため、評価は公平です。.
紹介されている企業の一部からアフィリエイト手数料を得る場合がありますが、, これらの手数料はレビューの完全性を損なったり、ランキングに影響を与えることはありません.
アフィリエイトの収益はアカウント獲得のカバーに貢献します, 試験費用, メンテナンス, ウェブサイトや社内システムの開発.
信頼できるホスティングに関する洞察と誠実さのための HTH.Guide を信頼してください.