Popüler içerik yönetim sistemleri (CMS) Joomla 3.4.5 ve Drupal 7.41 güncellemeleri ile çeşitli güvenlik açıkları kapatıldı.
İçerik Tablosu
Drupal 7.41
Geçtiğimiz hafta yayınlanan Drupal 7.41 güncellemesi ile düşük kritik seviyedeki “open redirect” açığı kapatılmış oldu. Drupal core’daki Overlay modülündeki bu güvenlik açığı Drupal 7.0 ve sonraki tüm sürümlerde yer alıyordu.
Bu açık, Overlay modülü aktif olan ve “access to administrative overlay” izni verilmiş tüm kullanıcıları etkiliyordu.
Joomla 3.4.5
Benzer bir şekilde geçtiğimiz hafta yayınlanan Joomla 3.4.5 ile bir çok güvenlik açığı kapatılırken, aynı zamanda UploadShield sistemine de güvenlik geliştirmeleri getirmiş oldu.
Kapatılan açıklar arasından en ciddi olanı ise SQL injection’a imkan tanıyan, ve Trustwave’den Asaf Orpani ve PerimeterX’den Netanel Rubin tarafından bildirilen açık denilebilir.
Ayrıca araştırmacıların bildirdiğine göre Joomla’nın administrator klasöründeki bir PHP dosyası, bir SQL injection ile tetiklenerek saldırganın web sitesinin veritabanına özel üretilmiş bir request’i göndermesine imkan tanıyor. Bu açık Joomla 3.2.0’dan 3.4.4’e kadarki tüm sürümlerde yer alıyordu.
SQL injection’a ek olarak, Joomla 3.4.5 gizli olması gereken verilerin okunmasına imkan veren bir çok ACL violation’ı da çözüyor ve platformu daha güvenli hale getiriyor.