U radu programskog paketa Drupal uočene su i otklonjene dvije sigurnsone ranjivosti. Riječ je o CMS (eng. Content Management System) sustavu koji se koristi za upravljanje web sadržajima. Ranjivosti su uzrokovane pogreškama u modulima File i OpenID. Napadačima omogućuju zaobilaženje određenih sigurnosnih ograničenja te preuzimanje privatnih datoteka koje inače nisu bile dostupne. Svim se korisnicima preporuča nadogradnja na novu inačicu.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-02-009
Naslov: Uocene dvije ranjivosti programskog paketa Drupal
Datum: 2012-02-09
OS: Windows, UNIX/Linux
Programski paket: Drupal
Tip sigurnosnog problema: zaobilazenje sigurnosnih ogranicenja
Rizik: Srednji
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe programskog paketa Drupal uocene su dvije sigurnosne ranjivosti.

Drupal je CMS (eng. Content Management System) sustav koji se koristi za upravljanje 
web sadrzajima. 

Vise informacija o spomenutom programskom paketu dostupno je na sljedecoj web adresi:

http://drupal.org/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivosti uocene u radu paketa Drupal napadacima omogucuju upravljanje odredjenim podacima te zaobilazenje odredjenih sigurnosnih ogranicenja.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na posljednju inacicu.  

-------------------------------------------------------------------------------

[4]  Analiza

Prva od spomenutih ranjivosti posljedica je neispravne provjere potpisa AX (eng. Attribute 
Exchange) informacija u modulu OpenID. Napadaci to mogu iskoristiti za manipulaciju 
AX informacijama.

Ranjivost je potvrdjana u inacicama izdanim prije inacice 6.23 i u inacicama izdanim prije 
inacice 7.11.

Druga ranjivost javlja se kao pogreska u modulu File prilikom upotrebe polja za pristup 
modulima. Napadaci to mogu iskoristiti za preuzimanje privatnih datoteka koje su inace 
ogranicene.

Ranjivost je potvrdjena u inacicama prije inacice 7.11. 

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrili su:

1) Rui Wang, Shuo Chen i Xiao Feng Wang te 
2) David Rothstein, Drupal Security Team i Sascha Grossenbacher.

Tekstovi izvorne preporuke nalaze se na sljedecim adresama:

SA-CORE-2012-001:
http://drupal.org/node/1425084

OpenID:
http://openid.net/2011/05/05/attribute-exchange-security-alert/

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________