Drupal KRITIKUS sérülékenysége
Angol cím: 
Drupal critical vulnerability
CERT-Hungary ID: 
CH-13420
Felfedezés dátuma: 
2016-07-19
Összefoglaló: 

A Drupal kritikus besorolású sérülékenysége vált ismerté, amelyet kihasználva rosszindulatú távoli felhasználó képes lehet eltéríteni a HTTP forgalmat egy tetszőleges proxy szerver felé. A sérülékenységet kiküszöbölő megoldás már elérhető a gyártó honlapján.

Leírás: 

A hiba a PHP Guzzle HTTP kliens működésében található, ami szerver-oldali HTTP kérések kezelésére használatos. A támadó képes lehet közbeékelni egy proxy szervert, amelynek következtében lehallgathatja a forgalmat. 

A probléma hátterében egy névütközésből eredő, (több programnyelvet is érintő) implementációs hiba áll, erről az alábbi hivatkozáson érhető el bővebb információ:

http://tech.cert-hungary.hu/vulnerabilities/CH-13419

Hivatkozások: 
Megoldás: 
  • Drupal 8.x használata esetén frissítsen a legújabb verzióra (Drupal core 8.1.7
  • Megkerülő megoldásként tiltsa le a 'Proxy header'-t (lásd: 'Hivatkozások alatt #fix-now').
  • Habár a Drupal 7.x nem érintett a sérülékenységben, a megkerülő megoldást ebben az esetben is célszerű alkalmazni!
Érintett verziók: 
Drupal core 8.x (8.1.7 előtti verziók).