اكتشف خلل دروبال الحرج الثالث - قم بتصحيح مواقعك على الفور

اللعنة ! يجب عليك تحديث مواقع دروبال الخاصة بك. 

نعم ، بالطبع مرة أخرى - حرفياً هذه هي المرة الثالثة في آخر 30 يومًا. 

كما تم إخطار مقدمًا قبل يومين ، قام دروبال الآن بإصدار إصدارات جديدة من برمجياته لتصحيح بعض الثغرات الأمنية الهامة الأخرى في تنفيذ التعليمات البرمجية عن بعد ، مما يؤثر على نظامي دروبال 7 و 8 النواة. 

Drupal هو برنامج نظام إدارة محتوى مفتوح المصدر شائع يعمل على تشغيل الملايين من مواقع الويب ، وللأسف ، تعرض CMS لهجمات نشطة منذ الكشف عن ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد.

تم تصحيح الثغرة الحرجة التي تم الكشف عنها سابقا ، والمعروفة باسم Drupalgeddon2 (CVE-2018-7600) ، في 28 مارس ، ولكن ربما التغييرات التي أدخلت لإصلاح هذا الخلل قد فتحت ثغرة حاسمة أخرى في البرنامج الأساسي ، مما اضطر فريق دروبال إلى إطلاق سراح التصحيح. 

ووفقا لجديدة الاستشارية الصادرة عن الفريق، وضعف تنفيذ التعليمات البرمجية عن بعد جديد (CVE-2018-7602) ويمكن أيضا أن تسمح لمهاجمين على المواقع المعرضة للخطر تماما. 

بما أن العيوب السابقة قد استحوذت على الكثير من الاهتمام والمهاجمين المستهدفين لاستهداف المواقع الإلكترونية التي تدير موقع دروبال ، فقد حثت الشركة جميع مسؤولي الموقع على تثبيت بقع أمان جديدة في أقرب وقت ممكن.

• إذا كنت تقوم بتشغيل 7.x ، قم بالترقية إلى دروبال 7.59.
• إذا كنت تقوم بتشغيل 8.5.x ، قم بالترقية إلى دروبال 8.5.3.
• إذا كنت تستخدم الإصدار 8.4.x ، والذي لم يعد مدعومًا ، فيجب عليك أولاً تحديث موقعك إلى إصدار 8.4.8 ثم تثبيت أحدث إصدار 8.5.3 في أقرب وقت ممكن.

"نحن لسنا على علم بأي مآثر نشطة في البرية من أجل الضعف الجديد ،" قال متحدث باسم الدكتورة The Hacker News. "علاوة على ذلك ، فإن الخلل الجديد أكثر تعقيدا من الاندماج معًا في استغلال".

على الرغم من أن التفاصيل الفنية للخلل لم يتم إصدارها في الاستشارة ، فهذا لا يعني أنه يمكنك الانتظار حتى صباح اليوم التالي لتحديث موقع الويب الخاص بك ، معتقدًا أنه لن يتم مهاجمته. لقد رأينا كيف طور المهاجمون عمليات استغلال آلية وأطلقوا بنجاح هجمات ، مستفيدًا من ثغرة دروبالجدون 2 ، في غضون ساعات قليلة بعد أن تم تفصيلها من قبلعمال النظافة العامة والحقن ، و backdoors ، والبرامج الضارة الأخرى في مواقع الويب. وإلى جانب هذين العيوب ، قام الفريق أيضًا بتصحيحضعف في البرامج النصية للمواقع العابرة (XSS) في الأسبوع الماضي ، الأمر الذي كان من الممكن أن يسمح للمهاجمين عن بعد بخلع الهجمات المتقدمة بما في ذلك سرقة ملفات تعريف الارتباط ، وتسجيل المفاتيح ، وسرقة التصيد وسرقة الهوية.