[Drupal] Aggiornamenti di sicurezza per vulnerabilità di Jquery e PHP Template

Nel consueto aggiornamento mensile sulla sicurezza di Drupal e dei suoi moduli, il gruppo dedicato alla sicurezza del sistema segnala alcune vulnerabilità nei componenti allegati al sistema principale. Tecnicamente non sono vulnerabilità di Drupal, ma trattandosi di componenti basilari, usati da tutti e per tutto, vanno considerati componenti fondamentali. Per questo tenerli aggiornati è essenziale, ed essendo separati dal sistema principale, c'è anche poco rischio che l'aggiornamento crei incompatibilità con moduli e altro codice personalizzato.


Problema

Si comincia con Jquery: gli sviluppatori della popolarissima libreria hanno descritto una vulnerabilità presente in tutte le versioni prima della 3.4 (gravità 10/25).

Nel motore grafico di Drupal, PHP Template, è stata scoperta una vulnerabilità per eseguire codice inviando dati a un campo (cross site scripting). Un problema simile riguarda il controllo degli id dei servizi (gravità 14/25).

Infine, un parametro previsto nei cookie può essere usato da un attaccante per cambiare al volo la propria identità, autenticandosi come due utenti diversi (gravità 14/25).


Cosa fare

Per chiudere tutte le vulnerabilità, è sufficiente installare le versioni 8.5.15 e 8.6.15 per chi usa Drupal 8. Le versioni di D8 prima della 8.5 sono a fine vita e non vengono più aggiornate. 

Per chi è ancora su Drupal 7, va installata l'ultima versione 7.66.


Approfondimenti


Fonte

Drupal Security Team

Newsletter

Ti segnaliamo i principali avvisi di sicurezza per Magento e Drupal non appena vengono rilasciati!

Lasciaci la tua email per ricevere le nostre ultime novità e aggiornamenti!

Go to top