Drupal ekibi geçtiğimiz günlerde 1 tanesi kritik ve 3 tanesi orta derecede kritik olmak üzere toplam 4 tane güvenlik zafiyetini gidermek için güvenlik güncelleştirmeleri yayınladı.
Kritik seviyede olan zafiyet, Drupal Core tarafından arşiv dosyaları oluşturmak, listelemek, dosyaları arşivden çıkarmak ve dosya eklemek için kullanılan “Archive_Tar” kütüphanesinin, dosyaları arşivden çıkarmak için kullandığı yöntemden dolayı kaynaklanıyor. Bu güvenlik açığını kullanabilen bir saldırgan, sunucuya zararlı bir tar dosyası yükleyerek, yüklediği dosyayı hassas dosyaların üzerine yazabiliyor. Zafiyetin sadece, kullanıcılar tarafından yüklenen .tar, .tar.gz, .bz2 veya .tlz uzantılı dosyaları işlemek üzere yapılandırılmış Drupal web sitelerini etkilediği belirtildi.
Orta seviyedeki diğer 3 güvenlik açığı için yayınlanan yamalar ise Denial of Service(Servis Kesintisi), Security Restriction Bypass(Güvenlik Kısıtlamasının Atlatılması) ve Unauthorized Access(Yetkisiz Erişim) gibi zafiyetleri gideriyor. Kritik arşiv zafiyeti için kullanıcıların CMS sürümlerini son sürüme güncelleştirmeleri, orta derecede kritik olan zafiyetler için ise Drupal sürümünün 8.7.11 ve 8.8.1 sürümlerine yükseltilmesi önerilmektedir.
Ramin KARIMKHANI
