Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Kritická zraniteľnosť v knižnici Symfony ovplyvňuje framework Drupal

09.08.2018
Bola nájdená zraniteľnosť v knižnici Symfony, ktorú využíva redakčný framework Drupal.Chyba sa nachádza aj v komponentoch frameworku Zend. Táto zraniteľnosť súvisí s podporou zastaralých HTTP hlavičiek a umožňuje vzdialenému útočníkovi potenciálne obísť kontrolu prístupových práv.

 

Dôsledky

  • Obídenie prístupových pravidiel
  • Získanie citlivých údajov
  • Vzdialený útočník môže prebrať kontrolu nad stránkou

 

Opis činnosti
CVE-2018-14773

Začiatkom augusta bola odhalená kritická zraniteľnosť v knižnici Symfony (komponent Symfony HttpFoundation), ktorú využíva webstránkový redakčný framework Drupal. Rovnakú zraniteľnosť obsahoval aj framework Zend.

Príčinou je podpora starších verzií HTTP hlavičiek (hlavičky IIS). Pomocou HTTP hlavičky 'X-Original-URL', alebo 'X-Rewrite-URL' môžu užívatelia zmeniť cestu URL dopytu. Táto funkcionalita dovoľuje útočníkovi vložením špeciálnej hodnoty do tejto HTTP hlavičky prinútiť cieľový systém poskytnúť odpoveď na dopyt na inú URL ako bola vyžiadaná, čím dokáže obísť bezpečnostné pravidlá servera. Útočník sa takto môže dostať k citlivým údajom alebo aj prebrať kontrolu nad webstránkou.

Spoločnosť vyvíjajúca Symfony odstránila podporu zastaraných HTTP hlavičiek X-Original-URL and X-Rewrite-URL.

 

Zraniteľné systémy

Drupal 8.x verzie pred 8.5.6
Symfony

  • 2.7.0 - 2.7.48
  • 2.8.0 - 2.8.43
  • 3.3.0 - 3.3.17
  • 3.4.0 - 3.4.13
  • 4.0.0 - 4.0.13
  • 4.1.0 - 4.1.2

Zend-diactoros verzie pred 1.8.4
Zend-http verzie pred 2.8.1|
Zend-feed verzie pred 2.10.3

Závažnosť zraniteľnosti
Vysoká

Možné škody
Cross-site scripting (XSS)
Narušenie dostupnosti systému (Dos)

Odporúčania
Drupal - aktualizovať aspoň na verziu 8.5.6
Symfony - aktualizovať aspoň na verziu 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, alebo 4.1.3 (verzie 3.0, 3.1, a 3.2 nebudú opravené, pretože už nie sú podporované)
Zend-diactoros - aktualizovať aspoň na verziu 1.8.4
Zend-http - aktualizovať aspoň na verziu 2.8.1
Zend-feed - aktualizovať aspoň na verziu 2.10.3

Odkazy
https://thehackernews.com/2018/08/symfony-drupal-hack.html
https://www.drupal.org/SA-CORE-2018-005
https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers
https://framework.zend.com/security/advisory/ZF2018-01
https://www.hkcert.org/my_url/en/alert/18080701
https://www.securitytracker.com/id/1041405



<< zoznam oznámení