Drupal güvenlik zafiyeti, geçtiğimiz çarşamba günü içerisinde Drupal üç güvenlik açığını kapattı. Güncellenmiş sürümlerini yayınladığı zafiyetlerin ikisinin kritik bir tanesinin ise daha az kritik olarak değerlendirdi.

Drupal Güvenlik Açığı

Drupal güvenlik açığı sonrasında kendi platformlarında yeni ortaya çıkmış olan ve güncellemeler ile ortadan kaldırılmış olan güvenlik açıkları hakkında açıklamalar yaptı. Açıklamalar sonrasında ise giderilmiş olan güvenlik zafiyetlerinin iki tanesinin gerçekten çok kritik durumda olduğunu ve çok sayıda güvenlik zafiyetinin ortaya çıkmasına neden olabileceği tespit edildi.

Kritik Durumundaki Drupal Güvenlik Açıkları

Kritik olarak değerlendirilen bu iki güvenlik açığı dan birisi “Siteler Arası Talep Sahteciliği” bir diğeri ise “Keyfi PHP Kodu Yürütme” olarak adlandırılıyor.

Keyfi PHP Kodu Yürütme (CVE-2020-13664)

Drupal son zamanlarda platformun birçok versiyonunu etkileyen kritik güvenlik açıklarından birini ele aldı.

Geliştiriciler tarafından yapılan açıklamaya göre, kritik keyfi bir PHP kod yürütme kusurunun platformlarını etkilediğini açıkladılar. Belirli koşullar altında potansiyele sahip bir saldırganın hatayı kullanarak kötü amaçlı kodlar yürütmesi mümkün bir hale geldi.

Devamında ise,

Saldırgan, yöneticiyi dosya sisteminde dikkatlice adlandırılmış bir dizin oluşturmaya neden olabilecek kötü amaçlı bir siteyi ziyaret etmesi için kandırabilir. Bu dizin hazır olduğunda, bir saldırgan bir uzaktan kod yürütme güvenlik açığını kaba zorlamaya çalışabilir.

şeklinde açıklama yapıldı. Bu güvenlik zafiyeti ise Drupal 8 ve 9’u etkiledi. Bunun üzerine geliştiriciler Drupal 8.8.8, Drupal 8.9.1 ve Drupal 9.0.1’i yamalarını yayınladılar.

Siteler Arası Talep Sahteciliği ( CSRF ) (CVE-2020-13663 )

Diğer kritik güvenlik zafiyeti olarak önem derecesine sahip bir CSRF hatası vardı. Bu güvenlik açığı ise Drupal 7, 8 ve 9’u etkiliyor. Bu güvenlik açığı hakkında Drupal geliştiricileri,

Drupal çekirdek Form API’sı, siteler arası isteklerden belirli form girdilerini düzgün şekilde işlemez ve bu da diğer güvenlik açıklarına yol açabilir.

şeklinde açıklama yaptılar. Geliştiriciler, Drupal 7.72, 8.8.8, 8.9.1 ve 9.0.1 sürümlerinde bu hatayı ele aldılar.

Kritik Güvenlik Zafiyetleri Çözümü

Zafiyetlerin bulunduğu sürümleri kullanan Drupal kullanıcılarının hataların giderilmesi ve güvenlik açıklarının ortadan kaldırılması için yeni yamalı sürümlere güncellemesi önerilmektedir. Yeni sürümler hakkında daha fazla bilgi almak için Drupal Resmi Sitesini ziyaret edebilirler.

Daha Az Kritik Durumundaki Drupal Güvenlik Açığı’da Giderildi

Drupal geliştiricileri iki kritik güvenlik açığının yanı sıra, daha az kritik olarak derecelendirilen erişim atlama güvenlik zafiyeti için bir düzenleme yayınlandı. 

Bu kusuru Drupal kendi belgelerinde

Varsayılan olarak JSON: API, güvenlik açığından yararlanılmasını imkansız hale getiren read_only (salt okunur) modda çalışır. Yalnızca jsonapi.settings yapılandırması altında salt okunur olarak FALSE olarak ayarlanmış siteler güvenlik açığından etkilenir.

olduğunu söyledi. Drupal, sağlam güvenliği nedeniyle WordPress ile çekişmekte ve WordPress’ten sonra en popüler olarak kullanılan CMS sistemidir.

Drupal güvenlik kusurlarını aktif bir şekilde takip edip düzelterek kullanıcılar tarafından beklenen güvenlik seviyesini yüksek tutmayı garanti eder. Bundan sonrasında ise olası açıklardan korunmak için yazılım sürümlerini güncel tutmak ise kullanıcıların sorumluluğudur.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir