В популярном движке нашлась дыра, которая позволяет легко захватывать сайты

02 апр 2018 12:40 #67781 от ICT
Срочное обновлениеDrupal Все сайты на базе открытой системы управления контентом(CMS) Drupal версий с индексом ниже 7.58 или 8.5.1, как оказалось, содержат критическуюуязвимость, которая позволяет захватить контроль над этой CMS. Анонсируя выпуск патчей,разработчики Drupal предупредили в конце марта 2018 г., что эксплойты могутбыть готовы в пределах нескольких часов после того, как информация об этом багебудет раскрыта публично. Баг, получивший индекс CVE-2018-7600, позволяетзлоумышленнику запускать любой произвольный код в контекст ядра CMS, чтооткрывает ему возможность захватывать веб-сайт. Злоумышленнику не понадобитсяни регистрироваться, ни авторизоваться на сайте. Все, что ему необходимо, этоURL-ссылка. Баг уже назвали Drupalgeddon2. Первый Drupalgeddon — это баг2014 г. (CVE-2014-3704), связанный с возможностью SQL-инъекции — внедренияпроизвольного SQL-кода для взлома сайтов. Этот баг использовался потомзлоумышленниками в течение нескольких лет. http://filearchive.cnews.ru/img/news/2018/04/02/drupal600.jpg"> Drupal выпустил экстренное обновление для критической уязвимости Угроза от Drupalgeddon2 немного меньше (21 из 25 балла пособственной шкале Drupal, а не 25 из 25, как с первым Drupalgeddon), но тоже слишком высока, сточки зрения разработчиков, чтобы ее игнорировать. [b]Атаки еще не начались[/b] К настоящему моменту, как утверждают разработчики Drupal, уних нет никакой информации об атаках, эксплуатирующих уязвимость CVE-2018-7600,но вряд ли этого придется долго ждать. Основной сайт Drupal в конце марта 2018 г. был на полчасаотключен — как раз для обновления. Всем прочим пользователям этой CMSкатегорические рекомендуется последовать примеру как можно скорее. На сегодняшний день наибольшей популярностью пользуются двеветки Drupal — 7.х и 8.х. Ветка 6.х снята с поддержки еще в начале 2016 г.,однако разработчики Drupal решили выпустить экстренный патч и для нее. «Исправления для неподдерживаемых версий ПО выпускаютсятолько в самых исключительных случаях, — говорит [b]Михаил Зайцев[/b], эксперт по информационной безопасности компании SECConsult Services. — Drupalgeddon2 — это как раз такой случай. Решениеразработчиков можно только приветствовать, особенно учитывая, что Drupal —пусть и не самая, но все-таки популярная система управления контентом». Доля Drupal среди систем управления контентом в мире насегодняшний день составляет около 4,3% (2,2% от общего числа сайтов воВсемирной сети используют именно ее). Drupal часто критикуют за обилие ошибок,неудобство в использовании, проблемы с масштабируемостью и т. д. Тем не менее, системудо сих пор используют блоги, а также корпоративные, и даже правительственныесайты.[img]http://filearchive.cnews.ru/img/news/2018/04/02/drupal600.jpg"> Drupal выпустил экстренное обновление для критической уязвимости Угроза от Drupalgeddon2 немного меньше (21 из 25 балла пособственной шкале Drupal, а не 25 из 25, как с первым Drupalgeddon), но тоже слишком высока, сточки зрения разработчиков, чтобы ее игнорировать. Атаки еще не начались К настоящему моменту, как утверждают разработчики Drupal, уних нет никакой информации об атаках, эксплуатирующих уязвимость CVE-2018-7600,но вряд ли этого придется долго ждать. Основной сайт Drupal в конце марта 2018 г. был на полчасаотключен — как раз для обновления. Всем прочим пользователям этой CMSкатегорические рекомендуется последовать примеру как можно скорее. На сегодняшний день наибольшей популярностью пользуются двеветки Drupal — 7.х и 8.х. Ветка 6.х снята с поддержки еще в начале 2016 г.,однако разработчики Drupal решили выпустить экстренный патч и для нее. «Исправления для неподдерживаемых версий ПО выпускаютсятолько в самых исключительных случаях, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SECConsult Services. — Drupalgeddon2 — это как раз такой случай. Решениеразработчиков можно только приветствовать, особенно учитывая, что Drupal —пусть и не самая, но все-таки популярная система управления контентом». Доля Drupal среди систем управления контентом в мире насегодняшний день составляет около 4,3% (2,2% от общего числа сайтов воВсемирной сети используют именно ее). Drupal часто критикуют за обилие ошибок,неудобство в использовании, проблемы с масштабируемостью и т. д. Тем не менее, системудо сих пор используют блоги, а также корпоративные, и даже правительственныесайты.


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    «Дыра» в ПО Oracle позволяет полностью захватывать контроль над серверами. Степень угрозы 9,9 из 1022.5Четверг, 16 августа 2018
    В MySQL нашлась архитектурная «дыра» для удобной кражи криптовалюты15.88Понедельник, 04 февраля 2019
    В Skype, Slack и суперзащищенном мессенджере Signal нашлась одинаковая «дыра»15.71Четверг, 25 января 2018
    Шифрование электронной почты стало бессмысленным: В PGP нашлась серьезная «дыра»15.71Вторник, 15 мая 2018
    Критическая «дыра» в самом популярном архиваторе затронула миллионы пользователей по всему миру15.59Среда, 30 сентября 2015
    Знаменитая система аналитики IBM Watson позволяет захватывать устройства и красть данные15.41Понедельник, 01 апреля 2019
    Конец «халяве»: Власти заблокируют сайты на пиратском движке. Опрос14.87Вторник, 26 апреля 2016
    Простая ошибка в Chrome, Firefox и Safari позволяет легко "уронить" ПК14.61Вторник, 16 июня 2015
    «Дыра» в «Касперском» позволяет дочиста ограбить банкомат14.16Четверг, 13 июля 2017
    Новая технология Microsoft позволяет легко визуализировать трехмерные объекты в реальном времени (ВИДЕО)14.16Вторник, 19 июля 2016

    Мы в соц. сетях