Drupal’da yuqori darajali zaiflik aniqlandi
Drupal’ning Basic HTTP Authentication moduli ichida muhim bir zaiflik aniqladi. Ushbu zaiflikdan foydalanib, hujumchilar modul tomonidan o‘rnatilgan kirish cheklovlarini chetlab o‘tishlari mumkin, bu esa maxfiy kontent yoki resurslarni xavf ostiga qo‘yishi ehtimolini tug‘diradi.
Mazkur zaiflik SA-CONTRIB-2024-057 deb belgilangan bo‘lib, Drupal’ning Basic HTTP Authentication moduliga tegishli. Ushbu zaiflik kirish cheklovlarini bekor qilishi va ayrim yo‘nalishlar uchun kirish ruxsatlarini noto‘g‘ri o‘rnatib qo‘yishi sababli paydo bo‘ladi. Natijada, kirish ruxsatlari cheklovlari bekor qilinib, foydalanuvchilarga maxfiy resurslarga kirish imkoniyati yaratiladi. Ushbu holat himoya tizimlarida kirish huquqi bypass qilinishiga olib kelishi mumkin.
Drupal tizimidagi Basic HTTP Authentication modulida aniqlangan jiddiy zaiflik — kirishni chetlab o‘tish (Access Bypass) imkoniyatini yaratadi, bu esa foydalanuvchilarning maxfiy resurslarga ruxsatsiz kirish xavfini tug‘diradi. xavfsizlik riski darajasi yuqori (16/25) bo‘lib, ushbu muammo Drupal 7.x’ning 7.x-1.4 versiyasidan avvalgi barcha versiyalarida mavjud va uni bartaraf etish uchun yangilangan Basic Authentication 7.x-1.4 versiyasini o‘rnatish tavsiya etiladi.
UZCERT xizmati barcha foydalanuvchilarga mazkur choralarni imkon qadar tezroq amalga oshirishni tavsiya qiladi.