研究者已经发现一个白宫网站上开放源码内容管理系统Drupal代码中的一个漏洞,它可能会导致XSS跨站攻击,并有可能导致攻击者注入登录页面,用恶意脚本获取网站管理密码。
错误发生在白宫网站Drupal系统中的语境模块,这一发现引人注目,因为白宫刚刚向开源团体贡献了自己的源代码,这一漏洞可能会被包含在内并影响其它站点。
不过希望使用该漏洞实现攻击的难度还是较大,要同时符合好几个条件,另一方面,由于该漏洞位于模块中,因此Drupal不会协调发布安全修补程序,不过安 全人员提供的补丁已经到位。
开放源码软件的一大卖点是它的源代码可以由成千上万甚至数百万用户审查,使之更加安全,漏洞会被迅速诊断和修复,当然这已经不是 Whitehouse.gov的首次安全问题。 |
