最近,研究人员IOActive的研究员Fernando Arnaboldi在最新发现的一些漏洞中发现了一些问题,这些都是受到Drupal内容管理系统支持的开发人员正在努力确保软件更新机制的安全性。 Drupal中的机制:后端管理面板报告更新错误失败,跨站点请求伪造(CSRF)漏洞可能允许攻击者强制管理员重复触发更新检查,以及缺少更新下载的加密。
最后一个问题是最重要的问题,因为它可能允许攻击者拦截基于Drupal的网站和官方Drupal服务器之间的流量vers,注入back-doored更新。
[更多阅读:如何从Windows PC中删除恶意软件]
幸运的是,Drupal安全团队事先得到了通知,并且正在努力解决这个问题。更新缺点。在过去的几天中,团队已经将项目的基础架构转换为支持HTTPS,以便Drupal内核及其模块的更新过程使用安全渠道。目前,团队已经在Drush中启用HTTPS更新,这是一种流行的命令行shell和Drupal的脚本界面。它还将项目页面中的所有下载链接切换到HTTPS。
核心更新状态模块仍然没有使用安全传输,但这项工作正在进行中,将在下一个Drupal更新中部署,安全团队表示现在,网站管理员可以使用受支持版本的Drush部署更新,或者可以从相应的项目页面手动下载发布归档。
失败的更新通知问题和CSRF缺陷没有但是Drupal安全团队为他们打开了跟踪门票,并要求开发者提供补丁。
