Drupal Security Team Perbaiki Celah Pada Drupal Core Engine

Drupal Security Team berhasil memperbaiki isu yang terjadi pada Drupal core engine versi 7 dan versi 8 dari Content Management System (CMS) Drupal pada pekan lalu. Celah tersebut dapat memicu cache poisoning, serangan social engineering dan juga serangan denial of service (DoS).

Menurut laporan keamanan yang dirilis oleh Drupal, update Drupal yang baru dirilis pada hari Rabu, minggu lalu, telah memperbaiki empat celah Drupal core engine yang ditandai sebagai “cukup kritis.” Celah ini ada pada versi Drupal core 7.x hingga 7.52, dan versi Drupal core 8.x hingga versi 8.2.3.

Salah satu perbaikan lebih menekankan pada isu yang ada pada mekanisme transliterasi Drupal 8. Module ini memberikan satu arah string transliterasi, dan juga membersihkan nama file selama proses upload. Menurut laporan keamanan tersebut, jika ada hacker menggunakan URL khusus yang dibuat dalam modul, mereka dapat menyebabkan denial of service (DoS).

Isu yang hampir sama juga ada pada form konfirmasi pada Drupal 7, seperti yang ditulis pada laporan keamanan.

“Dalam keadaan tertentu, pengguna malicious dapat membuat URL ke dalam bentuk form konfirmasi yang dapat mengelabui pengunjung website untuk dialihkan ke website pihak ketiga setelah berinteraksi dengan form tersebut, sehingga mereka dapat mengeksploitasi pengunjung dan melakukan serangan social engineering yang potensial.”

Dual celah lainnya ditandai oleh Drupal sebagai “kurang kritis.” Salah satunya terkain dengan fakta bahwa form reset password pengguna pada website Drupal 8 tidak menentukan konteks cache yang tepat. Sesuatu hal yang dapat menyebabkan cache poisoning dan konten yang tidak diinginkan tampil pada halaman pengguna. Dan isu lainnya adalah isu dengan access query tags pada Drupal 7 dan Drupal 8. Celah ini dapat membocorkan informasi pada taxonomy terms untuk pengguna unprivileged.

Pengguna CMS Drupal sangat disarankan untuk mendownload Drupal core 7.5.2 bagi yang menggunakan Drupal 7.x. Sementara jika menggunakan versi Drupal 8.x disarankan untuk mendownload Drupal core 8.2.3.

Jakartawebhosting menyediakan server yang sesuai dengan kebutuhan minimum sistem Drupal dan bisa dijadikan pilihan yang tepat untuk Drupal hosting.