هام Drupal تصلح ثغرة خطيرة في إعادة تعيين كلمة المرور
Drupal واحدة من أشهر أنظمة إدارة المحتوى مفتوحة المصدر تحث مستخدميها على تحديث الإصدار الخاص بهم إلى الإصدار الأخير 7.35 وذلك بعد أن قامت الشركة باكتشاف ثغرتين خطيرتين تسمح باختراق المواقع التي تعمل بنظام إدارة المحتوى Drupal.
ووفقا للنشرة الأمنية التي نشرت أمس، فإن نقطة الضعف الأمنية وجدت في نواة Drupal والتي تسمح للمهاجم بتجاوز القيود الأمنية عبر الرابط الخاص باسترجاع كلمة المرور.
ACCESS BYPASS / PASSWORD RESET URLs VULNERABILITY
وفي حالة الاستغلال يستطيع المهاجم أن يقوم بعملية دخول غير موثق وذلك دون معرفة كلمة المرور الخاصة بالمستخدم.
الثغرة تم تصنيفها “متوسطة الخطورة”، في حين أن المهاجم يستطيع أن يقوم بالاستيلاء على أي من الحسابات المسجلة كحساب الأدمن مثلاً.
وجدير بالذكر أن المواقع التي تعمل بنظام إدارة المحتوى Drupal 6 تعد في خطر كبير لأن مديري المواقع قاموا بإنشاء حسابات عديدة بنفس كلمة المرور.
الثغرة الثانية جاءت من نوع OPEN REDIRECT VULNERABILITY والتي تسمح للمهاجم بتحويل زوار ومستخدمين الموقع إلى رابط يحتوي على برمجيات خبيثة.
الموضوع في غاية الأهمية لأن Drupal تستخدم بصورة كبيرة حيث أن هناك أكثر من مليار موقع على شبكة الانترنت يعمل بنظام إدارة المحتوى Drupal مما يضعها في المستوى الثالث بعد الوردبريس وجوملا. وجدير بالذكر أن MTV, Popular Science, Sony Music, Harvard and MIT يعملون بنظام إدارة المحتوى الذي تقدمه Drupal.
وصرحت الشركة “نحن نوصي بشدة أن يتم اتخاذ هذه الإجراءات من قبل مديري المواقع”:ـ
1- الترقية إلى الإصدار الجديد Drupal core 7.35
2- تشغيل جميع البرامج بصلاحيات المستخدم العادي دون استخدام صلاحيات المدير.
3- لا تقم بفتح أي روابط من مصادر غير معروفة.
4- لا تقم بفتح أي مرفق برسائل البريد من مصادر غير موثقة أو غير معروفة.
5- قم بعمل قائمة تضمن الامتدادت المضمونه والتي يسمح بتلقيها عبر البريد الإلكتروني.