Drupal: Aggiorna il modulo Media per mettere in sicurezza il navigatore di file

Il modulo Media è lo standard nei siti Drupal per la gestione di file multimediali. Che siano documenti, video o materiali interattivi, che siano locali o in streaming, il modulo Media si mette in mezzo e permette di gestirli nelle pagine del sito. Poiché tra gli sviluppatori figura la stessa Acquia, è consigliabile usare Media (quasi 2 milioni di scaricamenti, 275.000 siti attivi) e non altri moduli per la parte multimediale dei siti Drupal. Di recente è stata scoperta una vulnerabilità classificata come "critica", inoltre è stato chiuso il supporto per la vecchia versione 1 del modulo.


Il problema

La vulnerabilità, scoperta dal gruppo di lavoro dedicato alla sicurezza di Drupal e dei suoi moduli, permette a un attaccante di eseguire codice PHP a piacere inviando comandi al navigatore di contenuti multimediali, uno dei sottomoduli di Media. In teoria una vulnerabilità gravissima, in pratica per sfruttarla è necessario che l'attaccante abbia accesso al navigatore dei contenuti multimediali. Questa funzione di norma è consentita solo agli amministratori del sito, cioè a utenti privi di rischio. Per questo la vulnerabilità viene classificata solo come "critica".

Da aprile è stato anche deciso di abbandonare il supporto per la versione 1.x di Media. L'ultimo aggiornamento di questa versione risale al 2012, codice davvero troppo vecchio per tenerlo ancora aggiornato. Praticamente tutti i nuovi siti usano da diversi anni la versione 2.x del modulo Media, oppure la 3.x, per chi vuole sperimentare.

Poiché Media non possiede ancora una versione per Drupal 8, i siti interessati sono per forza di cose fatti con Drupal 7.
 

Cosa fare

I siti che utilizzano la versione 1.x di Media vanno aggiornati alla versione 2.x o 3.x, scaricabile dalla pagina del modulo. Non ci sono alternative. Questo risolve anche la vulnerabilità del navigatore multimediale, chiusa a partire dalle versioni 2.1 e 3.0-alpha5.


Approfondimenti

Fonte: 
Drupal Security Team

Newsletter

Ti segnaliamo i principali avvisi di sicurezza per Magento e Drupal non appena vengono rilasciati!

Lasciaci la tua email per ricevere le nostre ultime novità e aggiornamenti!

Go to top