# BERBAGI SEPUTAR INFORMASI DUNIA INTERNET ! Symfony Flaw Leaves Drupal Sites Rentan terhadap Hacker - BERBAGI SEPUTAR INFORMASI DUNIA INTERNET

Hotnews>


INFORMASI SEPUTAR DUNIA INTERNET
INFORMASI DAN TUTORIAL !
TOOLS,SOFTWARE AND OTHER.
HOPE YOU ENJOY IT ;)

Saturday, August 4, 2018

Symfony Flaw Leaves Drupal Sites Rentan terhadap Hacker


Saatnya memperbarui situs web Drupal Anda.

Drupal, sistem manajemen konten open-source yang populer,
telah merilis versi baru dari perangkat lunaknya untuk mem-patch kerentanan keamanan bypass
yang dapat memungkinkan penyerang jauh untuk mengendalikan situs web yang terpengaruh.
Kerentanan, dilacak sebagai CVE-2018-14773, berada dalam komponen pustaka pihak ketiga,
yang disebut komponen Symfony HttpFoundation, yang digunakan dalam Drupal Core dan mempengaruhi versi Drupal 8.x sebelum 8.5.6

Karena Symfony — kerangka kerja aplikasi web dengan sekumpulan komponen PHP — sedang digunakan oleh banyak proyek,
kerentanan tersebut berpotensi menempatkan banyak aplikasi web yang berisiko diretas.

Symfony Component Vulnerability

Menurut penasehat yang dirilis oleh Symfony,
kerentanan keamanan memotong berasal karena dukungan Symfony untuk legasi dan header HTTP yang berisiko.

"Dukungan untuk header IIS (warisan) yang memungkinkan pengguna mengganti jalur di URL permintaan melalui header permintaan X-Original-URL 
atau X-Rewrite-URL HTTP memungkinkan pengguna untuk mengakses satu URL tetapi memiliki Symfony mengembalikan yang berbeda yang 
dapat melewati pembatasan pada cache tingkat yang lebih tinggi dan server web, "kata Symfony.

Serangan jarak jauh dapat memanfaatkannya dengan nilai header HTTP 'X-Original-URL' atau 'X-Rewrite-URL' yang khusus,
yang menimpa jalur di URL permintaan untuk berpotensi melewati pembatasan akses dan menyebabkan sistem target untuk merender URL berbeda.
Kerentanan telah diperbaiki di Symfony versi 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14,
dan 4.1.3, dan Drupal telah menambal masalah ini dalam versi terbarunya 8.5.6.

Cacat yang Sama Ada di Zend Framework

Selain Symfony, tim Drupal menemukan bahwa kerentanan serupa juga ada di pustaka Zend Feed dan Diactoros yang termasuk dalam Drupal Core,
yang mereka beri nama 'URL Rewrite vulnerability.'

Namun, CMS yang populer mengatakan Drupal Core tidak menggunakan fungsi yang rentan,
tetapi merekomendasikan pengguna untuk menambal situs web Anda, jika situs atau modul mereka menggunakan Zend Feed atau Diactoros secara langsung.
Drupal memberdayakan jutaan situs web dan sayangnya,
CMS baru-baru ini berada di bawah serangan aktif sejak setelah pengungkapan kerentanan eksekusi kode jauh kritis, dijuluki Drupalgeddon2.
Oleh karena itu, sebelum peretas mulai mengeksploitasi kelemahan baru untuk mengendalikan situs web Anda,
Anda sangat disarankan untuk memperbarui situs Anda sesegera mungkin.

No comments:

Post a Comment