07/08/2018
Drupal: Vulnerabilità nel Core del CMS
La vulnerabilità codificata come CVE-2018-14773 può permettere ad un attacco esterno di sovrascrivere il percorso nell'URL di richiesta (request URL) attraverso gli header HTTP "X-Original-URL" o "X-Rewrite-URL".
Per i webmaster che utilizzano Drupal per il loro sito web, è raccomandato l'aggiornamento alla versione più recente.
Questo problema è stato risolto infatti a partire dalla versione 8.5.6 di Drupal.
Per quanto riguarda Symfony, le patch risolutive sono nelle versioni 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14 e 4.1.3.
La vulnerabilità ha infatti origine in Symfony, il noto Framework PHP e sembra coinvolgere anche il framework Zend nei moduli "Zend Feed" e "Diactoros".
Come difendere il proprio sito web?
Qualsiasi applicativo o sito web può avere dei bug di sicurezza, è impossibile prevedere tutto.
Molto spesso però affidarsi ciecamente a dei popolari CMS non porta solo vantaggi: sono degli strumenti in grado di far fare agli utenti un sacco di cose, ma proprio per questo possono avere vari svantaggi, tra i quali le performance non ottimizzate e i problemi di sicurezza.
Un accorgimento molto importante da tenere a mente è di aggiornare spesso la propria piattaforma, sia essa Wordpress, Joomla, Drupal o un'altra. Altre piccole buone pratiche possono essere quelle di usare password difficili e sicure, non dare l'accesso amministratore a chiunque, utilizzare solo plugin e moduli ben conosciuti, ben mantenuti (quindi aggiornati spesso dal creatore) e possibilmente solo quelli che servono davvero. Ad esempio, avere nel proprio sito un plugin per l'antispam dei commenti è inutile se il nostro sito non permette agli utenti di commentare i post. Meglio rimuoverlo così non si rischia che, nel caso questo plugin venga compromesso, ci possano essere dei problemi anche per noi.
Se utilizzi altri CMS popolari, leggi anche questo articolo sui problemi e difetti di Wordpress e Joomla.
