Cảnh báo 02 lỗ hổng ATTT hệ quản trị nội dung Drupal

24/04/2018 09:27 AM

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam vừa ban hành Công văn 109/VNCERT-KTHT&GS về cảnh báo lỗ hổng an toàn thông tin hệ quản trị nội dung Drupal.

Nguyễn Liên

Theo đó, để đảm bảo an toàn, bảo mật thông tin mạng, các cơ quan, tổ chức có website sử dụng Drupal cần chú ý 02 lỗ hổng an toàn sau:

1. Lỗ hổng Drupal cho phép thực thi các lệnh điều khiển từ xa trái phép (Remote Code Execution)

- Mã lỗi quốc tế: CVE-2018-7600 hoặc SA-CORE-2018-002

- Mức độ nguy hiểm là nghiêm trọng

- Mô tả ảnh hưởng:

+ Cho phép tin tặc tấn công từ xa, tải tệp tin trái phép, thay đổi giao diện,...lỗ hổng tồn tại trên nhiều phiên bản khác nhau của Drupal.

+ Hiện nay, ảnh hưởng trên diện rộng đã có một số hacker khai thác lỗ hổng Druapal để phục vụ đào tiền ảo.

2. Lỗ hổng tấn công kịch bản liên trang (Cross Site Scripting)

- Mã lỗi quốc tế: SA-CORE-2018-003

- Mức độ nghiêm trọng: Cao

- Mô tả ảnh hưởng:

+ Ứng dụng CKEditor là một ứng dụng xây dựng trên nền tảng Java Script được tích hợp với phần mềm Drupal, ứng dụng này xuất hiện lỗ hổng cho phép khả năng khai thác lỗi Cross Site Scripting (XSS);

+ Lỗ hổng này cho phép tin tặc thực thi các XSS thông qua CKEditor khi sử dụng Plugin Image2 trong phiên bản Drupal 8.

Xem chi tiết các giải pháp xử lý tại Công văn 109/VNCERT-KTHT&GS ngày 23/4/2018.

Gởi câu hỏi Chia sẻ bài viết lên facebook 1,466

Bài viết về

lĩnh vực Công nghệ thông tin

VĂN BẢN NỔI BẬT MỚI CẬP NHẬT
  • 11:25 | 27/01/2023 Thông tư 01/2023/TT-BCT ngày 19/01/2023 bãi bỏ một số quy định tại Thông tư 02/2019/TT-BCT và Thông tư 18/2020/TT-BCT quy định về phát triển dự án và hợp đồng mua bán điện mẫu áp dụng cho các dự án điện mặt trời
  • 08:30 | 26/01/2023 Thông tư 25/2022/TT-BLĐTBXH ngày 30/11/2022 quy định về chế độ trang cấp phương tiện bảo vệ cá nhân trong lao động
  • 22:30 | 19/01/2023 Thông tư 04/2023/TT-BTC ngày 19/01/2022 hướng dẫn quản lý, thu chi tài chính cho công tác tổ chức lễ hội và tiền công đức, tài trợ cho di tích và hoạt động lễ hội
  • 22:25 | 19/01/2023 Thông tư 25/2022/TT-NHNN ngày 30/12/2022 quy định chế độ kế toán giao nhận, điều chuyển, phát hành, thu hồi và tiêu hủy tiền mặt tại Ngân hàng Nhà nước Việt Nam
  • 14:00 | 19/01/2023 Thông tư 27/2022/TT-BNNPTNT ngày 30/12/2022 hướng dẫn xây dựng định mức kinh tế - kỹ thuật trong quản lý, khai thác công trình thủy lợi.
  • 13:59 | 19/01/2023 Quyết định 6696/QĐ-TLĐ ngày 16/01/2023 quy định về thực hiện chính sách hỗ trợ đoàn viên công đoàn, người lao động bị giảm thời gian làm việc, chấm dứt hợp đồng lao động do doanh nghiệp bị cắt, giảm đơn hàng
  • 11:00 | 19/01/2023 Thông tư 06/2022/TT-UBDT ngày 30/12/2022 quy định chế độ báo cáo công tác dân tộc
  • 10:47 | 19/01/2023 Thông tư 23/2022/TT-BTNMT ngày 26/12/2022 sửa đổi Thông tư 28/2019/TT-BTNMT quy định kỹ thuật đánh giá chất nạo vét và xác định khu vực nhận chìm chất nạo vét ở vùng biển Việt Nam
  • 10:45 | 19/01/2023 Thông tư 52/2022/TT-BGTVT ngày 30/12/2022 quy định về bảo vệ môi trường trong hoạt động hàng không dân dụng
  • 10:40 | 19/01/2023 Thông tư 01/2023/TT-BLĐTBXH ngày 03/01/2023 quy định mức điều chỉnh tiền lương và thu nhập tháng đã đóng bảo hiểm xã hội

Địa chỉ: 17 Nguyễn Gia Thiều, P.6, Q.3, TP.HCM
Điện thoại: (028) 3930 3279 (06 lines)
E-mail: info@ThuVienPhapLuat.vn