# Форум на русском языке  > Новости  > Уязвимости  >  Устранены уязвимости в ядре Друпал

## Val_Ery

Разработчики Друпал сообщили об устранении уязвимости в ядре Друпал 6 и 7.

Новость получила идентификатор SA-CORE-2015-003, самой уязвимости присвоен статус 18/25, что означает "Критический". Затрагиваемые системы:
 - ajax: xss, злоумышленник может внедрить в выдаваемую страницу вредоносный код; уязвимость в большей степени затрагивает ядро Друпал 7 и затрагивает те сайты, на которых посетители имеют возможность создавать материалы в формате html,
- autocompete: уязвимость была обнаружена в функционале автозаполнения форм,
- sql injection: уязвимость позволяла пользователям с повышенными правами внедрять вредоносный код в sql-комментарии,
- form api: злоумышленник мог загружать файлы на сайт из-под учетной записи другого пользователя,
- access system: пользователи, не имеющие доступа к контенту, могут видеть заголовки нод, добавленных другими пользователями, в результате чего доступ к запрещенному содержимому может быть получен.

Для устранения этих уязвимостей необходимо обновить ядро Друпал до актуальных на данный момент.

Также были обнаружены множественные уязвимости в стороннем модуле Chaos Tool suite - ctools: один из самых используемых модулей в разработке Друпал-сайтов.
Идентификатор уязвимости - SA-CONTRIB-2015-141, степень опасности - 14/25 "Умеренно критический".
Сам модуль предоставляет всевозможные api для работы с материалами, а также является необходимым для работы множества других популярных модулей, таких как Views (представления), Panels, Entityreference, Features и других.
Смысл обнаруженной уязвимости можно описать так - злоумышленник может получить доступ к редактированию материала (не смотря на отсутствие разрешений) через "экраны редактирования", предоставляемые другими модулями, например Mini Panels, Panelizer и т.п. Ctools не проверяет наследование разрешений на доступ к редактированию материалов для дочерних объектов.

Решение - обновление модуля ctools до актуальной версии.

Ссылки на офсайт:
ядро - https://www.drupal.org/SA-CORE-2015-003
ctools - https://www.drupal.org/node/2554145

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## olejah

*Val_Ery*, спасибо, полезная информация. Пригодится.

----------


## Val_Ery

Устранены очередные критические уязвимости в Друпал (речь об уязвимостях с рисками более 16/25 по классификации Друпал, что можно обозвать словами "достаточно опасные")

1) DRUPAL-SA-CONTRIB-2015-168 - https://www.drupal.org/node/2627448
Устранена уязвимость в модуле Моллом (защита сайтов от спама) - злоумышленник мог "управлять" черным списком, внося в него изменения, добавляя свои условия etc.
Уязвимость затрагивает Друпал 6-ой версии.

2)  DRUPAL-PSA-CONTRIB-2015-001 - https://www.drupal.org/PSA-2015-001
Критическая уязвимость, затрагивающая ядра версий 6, 7 и 8.
Касается систем, устанавливаемых "удаленно", например, на хостинг. В случаях, когда установка системы не завершена (остановлена или просто файлы были "залиты" на сервер), злоумышленник может использовать удаленную базу данных для выполнения кода на сервере.
Как выясняется, ситуация достаточно распространенная. Буквально с неделю назад наблюдал подобное у одного из разработчиков: установщик (правда не Друпал, а ДЛЕ) был доступен несколько дней по имени сайта в сети. Народ решил сменить CMS'ку, залил файлы системы на хостинг и ... на это "забил".
Уязвимость "разрешается" удалением прав на запись каталогов sites и sites/default для веб-сервера.

Подробности - в приведенных выше ссылках...

----------

