Các lỗ hổng nghiêm trọng đã được vá trong nền tảng thương mại điện tử Magento
01/07/2025
Joomla vá lỗ hổng nghiêm trọng cho phép thực thi lệnh từ xa
01/07/2025
Drupal thêm khả năng hỗ trợ giao thức HTTPS và khắc phục các vấn đề khác cho cơ chế cập nhật của hệ thống quản lý nội dung sau khi một nhà nghiên cứu an ninh gần đây đã tìm thấy những điểm yếu.
Các nhà phát triển hệ thống quản lý nội dung Drupal đang làm việc để đảm bảo an ninh cho cơ chế cập nhật của phần mềm sau khi một chuyên gia gần đây đã tìm thấy những điểm yếu trong đó.
Tuần trước, nhà nghiên cứu Fernando Arnaboldi từ công ty an ninh mạng IOActive tiết lộ một số vấn đề với cơ chế cập nhật trong Drupal như: trang quản trị back-end không thể báo cáo về lỗi cập nhật, lỗ hổng CSRF (Cross-Site Request Forgery) có thể cho phép tin tặc ép buộc các quản trị viên phải liên tục kiểm tra bản cập nhật mới, và việc tải bản cập nhật không được mã hóa.
Vấn đề cuối cùng là điều quan trọng nhất, vì nó có thể cho phép tin tặc can thiệp lưu lượng dữ liệu trao đổi giữa một trang web Drupal và các máy chủ Drupal chính thức, để tiêm nhiễm các bản cập nhật có backdoor. Một cuộc tấn công như vậy có thể cho phép xâm nhập các trang web và cơ sở dữ liệu của nó.
May mắn thay, đội ngũ an ninh của Drupal đã được thông báo trước và đang làm việc để khắc phục những lỗ hổng đó nhanh nhất. Trong vài ngày qua, đội ngũ này đã thêm chức năng hỗ trợ HTTPS vào hạ tầng của phần mềm để quá trình cập nhật core và module của Drupal có thể sử dụng các kênh an toàn.
Hiện tại, nhóm đã kích hoạt chức năng cập nhật qua HTTPS trong Drush, một giao diện giao diện dòng lệnh phổ biến cho Drupal. Họ cũng đã chuyển tất cả các đường dẫn tải về trên các trang của dự án sang giao thức HTTPS.
Các module trạng thái cập nhật core vẫn chưa sử dụng giao thức an toàn, nhưng việc này đã được thực hiện và sẽ được triển khai trong bản cập nhật Drupal tiếp theo, nhóm nghiên cứu an ninh cho biết trong một bài trên blog.
Đến nay, các quản trị viên trang web có thể sử dụng một phiên bản được hỗ trợ của Drush để triển khai các bản cập nhật hoặc có thể tải về các bản phát hành từ các trang dự án tương ứng một cách thủ công.
Vấn đề về thông báo lỗi cập nhật và lỗ hổng CSRF vẫn chưa được giải quyết, nhưng đội ngũ an ninh của Drupal đã quan tâm đến chúng và đã yêu cầu các nhà phát triển xây dựng các bản vá lỗi.
