آسيب‌پذيری سايت‌های دروپال به‌علت نقص موجود در Symfony

چهارشنبه ۱۷ مرداد ۱۳۹۷
.سیستم مدیریت محتوای دروپال، یک نسخه‌ی جدید از نرم‌افزار خود را منتشر کرده است
مرکز آپا شریف
SUT-APA-LOGO

سیستم مدیریت محتوای محبوب دروپال، یک نسخه‌ی جدید از نرم‌افزار خود را منتشر کرده است تا آسیب‌پذیری‌های امنیتی که می‌تواند به یک مهاجم از راه دور، اجازه‌ی دسترسی به وب‌سایت‌های آسیب‌دیده را بدهد، از بین ببرد.
این آسیب‌پذیری که به‌عنوان “CVE-2018-14773” ردیابی می‌شود، در مؤلفه‌ی یک کتابخانه‌ی شخص ثالث به نام مؤلفه‌ی “Symfony HttpFoundation” قرار دارد که در Drupal Core مورد استفاده قرار می‌گیرد و برروی نسخه‌های 8 دروپال، پیش از 8.5.6 تأثیر می‌گذارد.
Symfony یک چارچوب برنامه‌ی وب است که توسط بسیاری از پروژه‌ها بکار گرفته می‌شود؛ به این معنی که آسیب‌پذیری “CVE-2018-14773” می‌تواند به‌طور بالقوه، تعداد زیادی از برنامه‌های وب را در معرض خطر هک قرار دهد.
با توجه به توصیه‌هایی که توسط Symfony منتشر شده است، آسیب‌پذیری دور زدن امنیت، به‌علت پشتیبانی Symfony از سرتیترهای خطرناک و میراثی HTTP به‌وجود می‌آید.
یک حمله‌ی از راه دور می‌تواند از این آسیب‌پذیری برای نادیده‌گرفتن مسیر در یک URL درخواستی از طریق مقدار سرتیتر HTTPی “X-Original-URL” یا “X-Rewrite-URL” سوءاستفاده کند تا محدودیت‌های دسترسی را دور بزند و باعث شود که سیستم مورد نظر، یک نشانی اینترنتی متفاوت ارایه دهد.
Symfony این وصله‌‌ی امنیتی را برای پشتیبانی از این دو سرتیتر (“X-Original-URL” و “X-Rewrite-URL”) منتشر کرده است.
این آسیب‌پذیری در نسخه‌های 2.7.49، 2.8.44، 3.3.18، 3.4.14، 4.0.14 و 4.1.3 Symfony رفع شده است و دروپال نیز این مسئله را در آخرین نسخه‌ی خود (8.5.6) رفع کرده است.
علاوه‌بر Symfony، تیم دروپال دریافت که آسیب‌پذیری مشابهی در کتابخانه‌های “Zend Feed” و “Diactoros” موجود در Drupal Core وجود دارد و آن‌ها را «آسیب‌پذیری بازنویسی URL» نامیده‌ است. این سیستم محبوب مدیریت محتوا اعلام کرد که Drupal Core از قابلیت این آسیب‌پذیری استفاده نمی‌کند، اما به کاربران توصیه می‌کند، در صورتی که سایت یا ماژول آن‌ها به‌طور مستقیم از Zend Feed یا Diactoros استفاده می‌کند، آن‌را را وصله کنند.
دروپال قدرت میلیون‌ها وب‌سایت را دارد، اما متأسفانه این سیستم مدیریت محتوا اخیراً پس از افشای یک آسیب‌پذیری بسیار خطرناک اجرای کد از راه دور که “Drupalgeddon2” نامیده می‌شود، تحت حملات شدیدی قرار گرفته است. بنابراین، به کاربران توصیه می‌شود تا قبل از اینکه هکرها از نقص جدیدی برای کنترل وب‌سایت استفاده کنند، سایت خود را در اسرع وقت به‌روز کنند.