Haftanın Önemli Gelişmeleri – 9. Hafta

Güvenlik problemlerini Prisma danışmanları ile çözümleyebilirsiniz.

drupal
Drupal’daki Güvenlik Zafiyeti Uzaktan Kod Yürütülmesine İzin Veriyor

Güvenlik uzmanları, Drupal icerik yönetme sisteminde uzaktan kod yürütme için kullanılabilecek son derece kritik bir güvenlik açığı (CVE-2019-6340) buldu.

Güvenlik zafiyeti Drupal güvenlik ekibinden Samuel Mortenson tarafından keşfedildi. Bazı alan türleri, form dışı kaynaklardan gelen verileri düzgün biçimde temizlemez. Bu, bazı durumlarda PHP kodu yürütülmesine neden olabilir.

CVE-2019-6340’daki kusurdan yararlanmak için, RESTful Web Hizmetleri modülünün etkin ve PATCH veya POST isteklerine izin vermesi gerekir. Başka bir web hizmetleri modülü etkinse de, güvenlik açığını tetiklemek mümkün. Drupal 8’deki JSON API veya Drupal 7’deki RESTful Web Servisleri gibi.

Drupal, güvenlik açığını gidermek için Drupal 8.6.10 ve 8.5.11’i yayımladı. Drupal 7’nin güncellenmesi gerekmez, ancak uzmanlar Drupal 7 modülleri için bazı güncellemeler yapılması gerektiğini belirtti.

Güvenlik açığını geçici olarak gidermek icin, tüm web hizmetleri modüllerini devre dışı bırakabilir veya web sunucularınızı PUT / PATCH / POST isteklerine izin vermeyecek şekilde yapılandırabilirsiniz.

Drupal kullanıcılarının güncellemeleri en kısa sürede kurmaları gerekmektedir.

winRAR
Kritik WinRAR Zafiyeti, Son 19 Yılda Yayınlanan Tüm Sürümleri Etkiliyor

WinRAR yazılımında dünya çapında yüz milyonlarca kullanıcıyı etkileyen yeni bir uzaktan kod çalıştırma güvenlik zafiyeti keşfedildi. Check Point’teki siber güvenlik araştırmacıları, son 19 yılda piyasaya sürülen tüm sürümlerin etkilendiğini belirtti. Dünya çapında 500 milyon kullanıcısı olan popüler Windows dosya sıkıştırma uygulamasında ortaya çıkan kritik güvenlik zafiyetinin teknik ayrıntılarını açıklandı. Zafiyet, yazılım tarafından kullanılan, UNACEV2.DLL adlı eski bir kütüphaneden kaynaklanmaktadır.

Araştırmacılara göre, kütüphanede, yazılımın güvenlik zafiyeti bulunan sürümlerini kullanarak zararlı dosya arşivini açmaya çalışan ve hedeflenen sistemde rastgele kod çalıştırmak için kullanabilecekleri bir “Mutlak Yol Geçişi”(Absolute Path Traversal) hatası buldular. Bu zafiyet, saldırganların kullanıcı tarafından seçilen klasör yerine sıkıştırılmış dosyaları kendi seçtikleri bir klasöre çıkartmalarına izin verir ve zararlı kodu bir sonraki açılışta otomatik olarak çalıştırılacağı Windows Başlangıç klasörüne kopyalama imkanı vermektedir. Araştırmacılar tarafından paylaşılan video görselinde gösterildiği gibi, hedeflenen bilgisayarlar üzerinde tam kontrol sahibi olmak için, saldırganın tek yapması gereken, kullanıcıları WinRAR kullanarak zararlı hazırlanmış sıkıştırılmış arşiv dosyasını açmaya ikna etmektir. WinRAR ekibi 2005 yılında UNACEV2.dll kütüphanesinin kaynak kodunu kaybettiğinden, sorunu çözmek için UNACEV2.dll dosyasını paketinden çıkarmaya karar verdi ve ACE formatını desteklemeyen WINRar sürüm 5.70 beta 1’i yayımladı. Windows kullanıcılarının WinRAR’ın en güncel sürümünü en kısa sürede kurmaları ve bilinmeyen kaynaklardan gelen dosyaları açmamaları gerekmektedir.

android
Android Güvenli Parolasız Giriş Bilgilerini Destekliyor

Bugün Google Play Hizmetlerinin en son güncellemesini zaten yüklediyseniz ve Android cihazınız 7.0 Nougat veya daha yeni bir sürümü kullanıyorsa, Tebrikler! Cihazınız şimdi FIDO2 Sertifikalı.

Sizce… bunun anlamı ne?

Bu, çevrimiçi hesaplarınız için karmaşık şifreleri hatırlamak yerine, artık FIDO2 protokollerini destekleyen uygulamalara ve web sitelerine giriş yapmak için Android’in yerleşik parmak izi sensörünü veya FIDO güvenlik anahtarlarını kullanabilirsiniz demek oluyor.

FIDO2 protokolü, geliştiricilerin FIDO kimlik doğrulamasını web tarayıcılarına entegre etmelerini sağlayan W3C’nin WebAuthn API’sinin ve kullanıcıların parola olmadan oturum açmasına olanak sağlayan FIDO’nun entegre edilmiş bir halidir.

FIDO2 sertifikalı cihazlar Mac OS X, Windows, Linux, Chrome OS’de çalışır ve Google Chrome, Microsoft Edge, Mozilla Firefox ve Apple Safari dahil olmak üzere tüm büyük tarayıcılar tarafından destekleniyor.

FIDO2 sertifikalı Android cihazınızda parmak izi sensörü yoksa, uygulamaların ve çevrimiçi hesapların oturum açması için telefonunuzun kilidini açmak için kullandığınız bir PIN veya kaydırmalı desen gibi diğer kimlik doğrulama yöntemlerini kullanabilirsiniz.

Geçen yıl Google, kimlik avı saldırılarına karşı en yüksek düzeyde koruma sağlamak için donanım düzeyinde güvenlik anahtarlarının bütünlüğünü doğrulayan FIDO tabanlı bir Titan Güvenlik Anahtarı projesi başlattığını da duyurmuştu.

Delhi
Neredeyse Yarım Milyon Delhi Vatandaşının Kişisel Verileri Sızdırıldı

Bir güvenlik araştırmacısı, şirketin internette parola korumasız olarak bıraktığı yedek bir MongoDB veritabanı sayesinde yaklaşık yarım milyon Hintli vatandaşın ayrıntılı kişisel bilgilerini sızdıran güvenli olmayan bir sunucu keşfetti.

The Hacker News ile paylaşılan bir raporda Bob Diachenko adlı güvenlik araştırmacısı, iki gün önce Delhi’de bulunan ve Aadhaar numaraları ve seçmen numaraları dahil olmak üzere Delhi’de bulunan 458.388 kişiden toplanan bilgileri içeren “GNCTD” adında, 4.1 GB büyüklüğünde çok hassas bir veritabanı bulduğunu açıkladı.

Sızan veritabanı aşağıdaki tabloları içeriyor:

  • EB Kullanıcıları (14.861 kayıt)
  • Ev Üyeleri (102.863 kayıt)
  • Bireyler (458.388 kayıt)
  • Kayıtlı Kullanıcılar (399 kayıt)
  • Kullanıcılar (2.983 kayıt)

Diachenko, “Bulunan en ayrıntılı bilgi, Individuals tablosunda yer alan ve sağlık koşulları, eğitim vb. gibi oldukça ayrıntılı bir insan portresi çıkarılabilecek verilerdi” dedi.

“Households tablosunda; ad, ev no, kat numarası, coğrafi konum, alan bilgileri, bir süpervizörün email adresi gibi alanlar yer alıyor, hatta fonksiyonel su sayacı, rasyon kartı numarası, internet tesisi mevcut olup olmadığı bile bulunuyor.”

Diachenko, “Veritabanının ne kadar süre çevrimiçi kaldığı ve başka birinin erişip erişmediği bilinmiyor.” dedi.