Symfony құрамындағы осалдыққа байланысты Drupal-дағы сайттарға қауіп төнуде

Әлемде кеңінен таралған CMS біреуінің сегізінші Drupal нұсқасы Symfony2 пайдалана отырып жазылғаны белгілі. Symfony – бұл Model-View-Controller схемасын пайдаланатын РНР-де жазылған еркін фреймворк. Ол веб-қосымшаларды шұғыл әзірлеу мен басқаруды ұсынады және көптенген дерекқорлары (MySQL, PostgreSQL, SQLite немесе кез келген басқа PDO-үйлесімді  ДҚБЖ) оған қолдау көрсетеді.

Жақын арада Symfony HttpFoundation компонентінің құрамында қауіпті осалдылық айқындалды (CVE-2018-14773). Қателік Drupal 8.х нұсқасына (8.5.6 дейін) қауіп төңдіретіні анықталды.

Әзірлеушілер  проблема Symfony IIS хедерлеріне қолдау көрсетіп, бұл HTTP-сұрау салуында арнайы түрлендірілген X-Original-URL немесе X-Rewrite-URL хедерлерін пайдалануға және нәтижесінде басқа URL мкекенжайын өңдей отырып, осал жүйені қолжетімділікті шектеуді ескермеуге мәжбүрлеуге мүмкіндік беретініне байланысты деп түсіндіреді.

Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 нұсқаларындағы қателік жойылды, ал Drupal инженерлері CMS қауіпсіз 8.5.6. нұсқасына дейін жаңартты.

Drupal әзірлеушілері ұқсас проблема сонымен қатар Zend Feed мен  Drupal құрамдарына кіретін Diactoros кітапханаларында айқындалғанын атап көрсетеді. Осы жағдайда пайдаланушыларға олардың сайты немесе модулі Zend Feed не Diactoros тікелей жұмыс істейтін болса, жаңартылу ұсынылғанымен Drupal Core осал функционалдылықты пайдаланбайтыны атап көрсетіледі.

Ақпарат көзі: www.xakep.ru