Создатели системы управления контентом Drupal объявили о переходе на более защищенные каналы связи для распространения обновлений. Данное заявление прозвучало вскоре после того, как эксперт в сфере информационной безопасности Фернандо Арнабольди обнаружил уязвимости в механизме установки обновлений в версиях Drupal 7 и 8.
По словам Арнабольди, если попытка установки обновления окончилась неудачей, то Drupal не уведомляет об ошибке администраторов порталов, а в панели управления сайтом отображено наличие последней версии системы. Эта ошибка дает хакеру, который способен провести атаку типа man-in-the-middle, возможность предотвращать попытки установки на веб-ресурс исправлений безопасности или внедрять посторонний код на сайт. Применение устаревшей версии Drupal делает портал подверженным уязвимостям, которые были исправлены в новейших версиях системы управления контентом.
В качестве ответа на сообщение об ошибке разработчики Drupal внесли изменения в процедуру распространения обновлений. Загрузка исправлений теперь будет осуществляться по HTTPS, а анонимные загрузки через git получат поддержку SSL. Вскоре выйдет обновление для ядра Drupal.
Разработчики подчеркивают, что воспользоваться уязвимостью, которая была обнаружена Арнабольди, очень непросто. Чтобы успешно вмешаться в процесс обновления Drupal, злоумышленник должен предварительно провести атаку типа man-in-the-middle.