Patch Drupal Terbaru Tutup Tiga Celah Keamanan

Drupal Security Team baru saja merilis patch Drupal security terbaru untuk menutup tiga celah keamanan yang baru ditemukan, dimana dua diantaranya dikategorikan sebagai ‘critical.’

Pada awal minggu kemarin, situs resmi content management system (CMS) open source ini merilis security advisory yang memberitahukan detil mengenai isu keamanan terbaru yang berhasil ditemukan dan telah diperbaiki.

Tiga celah keamanan ini disebut sebagai SA-CORE-2016-004, yang dapat menyerang pada Drupal versi 8.x, dan pengguna disarankan untuk segera meng-upgrade-nya menjadi versi 8.1.10, yang sudah memiliki patch Drupal untuk menutup ketiga celah ini.

Celah pertama dan disebut sebagai yang paling tidak berbahaya diantara ketiganya, adalah masalah pada administrasi komentar di situs Drupal. Pengguna yang memiliki hak untuk mengedit node, dapat mengatur visibilitas pada komentar di node. Hal ini seharusnya dibatasi hanya untuk mereka yang memiliki hak untuk mengelola komentar.

Celah selanjutnya yang ditemukan dan yang paling dianggap berbahaya diantara ketiganya adalah bugs pada celah cross-site scripting yang mempengaruhi Http exception. Exception menangani pemrograman khusus yang menangani kondisi komputasi yang tidak biasa yang bisa mempengaruhi bagaimana program dijalankan. Seorang hacker dapat membuat URL khusus, yang bisa mengeksekusi code arbitary pada browser korban jika membuka URL tersebut. Masalah ini muncul karena Drupal memiliki ketidakmampuan dalam menangani beberapa Http exception.

Satu lagi celah yang dianggap critical adalah bug yang memungkinkan untuk mengekspor secara penuh laporan konfigurasi sistem tanpa permisi dari admin. Sistem secara sementara akan memungkinkan untuk mendownload ekspor konfigurasi penuh. Seharusnya ekspor konfigurasi dapat dilakukan hanya bagi mereka yang memiliki permisi.

Pada bulan Juli, Drupal telah merilis update security yang ditujukan untuk memperbaiki celah kritikal remote code execution pada tiga modules: RESTful Web Services; Coder; and Webform Multiple File Upload. Modules tersebut telah di download 10.000 kali per 13 Juli 2016, dengan RESTful Web Service merupakan yang paling popular diantara ketiganya dan tampil pada lebih dari 5.000 website Drupal.

Jakartawebhosting.com menyediakan layanan Drupal Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik.