Quản Trị Mạng - Nhóm nghiên cứu phát triển module Content của Drupal vừa phát hành phiên bản 6.x-2.0-rc4, đã khắc phục lỗ hổng bảo mật cross-site scripting (XSS) khi hiển thị các thông báo ngăn chặn.
Nếu 1 người dùng bất kỳ với quyền “administer blocks” vô tình kích vào đường link đã được chuẩn bị trước, đoạn mã JavaScript ẩn trong đường dẫn đó sẽ kích hoạt các quyền ưu tiên trên trang Drupal. Những kẻ tấn công sẽ tiếp tục khai thác lỗ hổng này để chiếm quyền điều khiển toàn bộ hệ thống. Chỉ vài tuần trước đây, một lỗ hổng thuộc dạng XSS cũng đã được phát hiện trên 1 hệ thống theo dõi, cho phép các quyền truy cập ở mức root vào máy chủ của Apache Software Foundation. Do đó, những lỗ hổng XSS nhất thiết không được xem nhẹ.
Mặc dù, module Content vẫn đang ở giai đoạn Release Candidate – RC, nhưng đã được sử dụng trên nhiều hệ thống website khác, ví dụ như trụ sở Nhà Trắng của phủ tổng thống Mỹ - sử dụng module Content HTTP Headers nằm trong module chính Content. Mặt khác, Drupal cũng đã đưa ra các chính sách bảo mật tương ứng với từng module đi kèm, nhưng nhà phát triển lại chưa đưa ra bất cứ thông tin chính thức nào về những cảnh báo chính thức đến người sử dụng, mặc dù trên thực tế rằng họ vẫn đang tiến hành khai thác và cảnh báo về những lỗ hổng từ module của các hãng thứ 3 - third party.
Greg Knaddison - 1 thành viên của nhóm bảo mật Drupal, đã liệt kê những cách giải quyết tạm thời trên blog cá nhân, trong khi nhà phát triển vẫn đang hoàn thiện bản cập nhật.
Nếu 1 người dùng bất kỳ với quyền “administer blocks” vô tình kích vào đường link đã được chuẩn bị trước, đoạn mã JavaScript ẩn trong đường dẫn đó sẽ kích hoạt các quyền ưu tiên trên trang Drupal. Những kẻ tấn công sẽ tiếp tục khai thác lỗ hổng này để chiếm quyền điều khiển toàn bộ hệ thống. Chỉ vài tuần trước đây, một lỗ hổng thuộc dạng XSS cũng đã được phát hiện trên 1 hệ thống theo dõi, cho phép các quyền truy cập ở mức root vào máy chủ của Apache Software Foundation. Do đó, những lỗ hổng XSS nhất thiết không được xem nhẹ.
Mặc dù, module Content vẫn đang ở giai đoạn Release Candidate – RC, nhưng đã được sử dụng trên nhiều hệ thống website khác, ví dụ như trụ sở Nhà Trắng của phủ tổng thống Mỹ - sử dụng module Content HTTP Headers nằm trong module chính Content. Mặt khác, Drupal cũng đã đưa ra các chính sách bảo mật tương ứng với từng module đi kèm, nhưng nhà phát triển lại chưa đưa ra bất cứ thông tin chính thức nào về những cảnh báo chính thức đến người sử dụng, mặc dù trên thực tế rằng họ vẫn đang tiến hành khai thác và cảnh báo về những lỗ hổng từ module của các hãng thứ 3 - third party.
Greg Knaddison - 1 thành viên của nhóm bảo mật Drupal, đã liệt kê những cách giải quyết tạm thời trên blog cá nhân, trong khi nhà phát triển vẫn đang hoàn thiện bản cập nhật.