Drupal zabezpečí aktualizační proces pomocí https

Bezpečnostní tým projektu Drupal pracuje na zavedení podpory bezpečného připojení protokolem HTTPS při aktualizacích systému a na opravách dalších problémů v aktualizačním mechanismu.

Drupal zabezpečí aktualizační proces pomocí https


Vývojáři oblíbeného systému pro správu obsahu Drupal pracují na zabezpečení jeho aktualizačního  mechanismu poté, co v něm byly nedávno odhaleny slabiny.

Výzkumníci bezpečnostní společnosti IOActive před nedávnem zveřejnili několik nedostatků v aktualizačním mechanismu Drupalu, mimo jiné chybějící šifrování, chybu typu cross-site request forgery (CSRF) a další. Útočníci mohli zachytávat datový provoz mezi stránkami založenými na Drupalu a oficiálními servery Drupalu a do aktualizací propašovat zadní vrátka.

Bezpečnostní tým Drupalu byl naštěstí informován v předstihu a pracuje na opravě nedostatků.  V uplynulých dnech zapnuli podporu HTTPS, aby proces aktualizace jádra i jednotlivých modulů Drupalu probíhal zabezpečeně.

Další opravy a vylepšení se objeví v následující aktualizaci. Prozatím mohou administrátoři využít k aktualizacím HTTPS připojení prostřednictvím příkazové řádky a skriptovacího rozhraní Drush, případně ručně stahovat aktualizační balíky z příslušných projektových stránek.

Problém s chybějícím upozorňováním na selhání aktualizace a chyba CSRF zatím vyřešeny nejsou, ale bezpečnostní tým Drupalu pro ně otevřel sledovací tickety a požádal vývojáře, aby zasílali záplaty.


Úvodní foto: © maxkabakov - Fotolia.com




Komentáře