Разработчики популярной свободной системы управления содержимым Drupal выпустили обновлённое ПО, в котором закрыт ряд уязвимостей, в том числе критически важный баг с угоном админского аккаунта. Апдейт настоятельно рекомендуется установить всем пользователям Drupal 6 и 7 из-за серьёзности бага.
«Уязвимость была обнаружена в модуле OpenID, который позволяет злоумышленнику авторизоваться в системе под учётными записями других пользователей, включая администраторов», — говорится в официальном сообщении Drupal.
Уязвимость CVE-2015-3234 смягчается тем фактом, что жертва должна иметь учётную запись с привязанным идентификатором OpenID от определённого OpenID-провайдера из списка. Судя по всему, список довольно большой. Специалисты по безопасности говорят только, что в него входят Verisign, LiveJournal, StackExchange и другие.
Три остальные уязвимости не такие серьёзные, поскольку их реальная эксплуатация затруднена. Например, уязвимость CVE-2015-3232 в модуле Field UI позволяет атакующей стороне, при определённых условиях, использовать параметр в строке запроса для генерации URL, которая перенаправит пользователей на потенциально вредоносный сайт. Но в реальности модуль Field UI довольно редко используется, так что баг имеет не такое большое распространение.
Новый версии Drupal 6.36 и 7.38 опубликованы на официальном сайте.
