Val_Ery
20.08.2015, 07:05
Разработчики Друпал сообщили об устранении уязвимости в ядре Друпал 6 и 7.
Новость получила идентификатор SA-CORE-2015-003, самой уязвимости присвоен статус 18/25, что означает "Критический". Затрагиваемые системы:
- ajax: xss, злоумышленник может внедрить в выдаваемую страницу вредоносный код; уязвимость в большей степени затрагивает ядро Друпал 7 и затрагивает те сайты, на которых посетители имеют возможность создавать материалы в формате html,
- autocompete: уязвимость была обнаружена в функционале автозаполнения форм,
- sql injection: уязвимость позволяла пользователям с повышенными правами внедрять вредоносный код в sql-комментарии,
- form api: злоумышленник мог загружать файлы на сайт из-под учетной записи другого пользователя,
- access system: пользователи, не имеющие доступа к контенту, могут видеть заголовки нод, добавленных другими пользователями, в результате чего доступ к запрещенному содержимому может быть получен.
Для устранения этих уязвимостей необходимо обновить ядро Друпал до актуальных на данный момент.
Также были обнаружены множественные уязвимости в стороннем модуле Chaos Tool suite - ctools: один из самых используемых модулей в разработке Друпал-сайтов.
Идентификатор уязвимости - SA-CONTRIB-2015-141, степень опасности - 14/25 "Умеренно критический".
Сам модуль предоставляет всевозможные api для работы с материалами, а также является необходимым для работы множества других популярных модулей, таких как Views (представления), Panels, Entityreference, Features и других.
Смысл обнаруженной уязвимости можно описать так - злоумышленник может получить доступ к редактированию материала (не смотря на отсутствие разрешений) через "экраны редактирования", предоставляемые другими модулями, например Mini Panels, Panelizer и т.п. Ctools не проверяет наследование разрешений на доступ к редактированию материалов для дочерних объектов.
Решение - обновление модуля ctools до актуальной версии.
Ссылки на офсайт:
ядро - https://www.drupal.org/SA-CORE-2015-003
ctools - https://www.drupal.org/node/2554145
Новость получила идентификатор SA-CORE-2015-003, самой уязвимости присвоен статус 18/25, что означает "Критический". Затрагиваемые системы:
- ajax: xss, злоумышленник может внедрить в выдаваемую страницу вредоносный код; уязвимость в большей степени затрагивает ядро Друпал 7 и затрагивает те сайты, на которых посетители имеют возможность создавать материалы в формате html,
- autocompete: уязвимость была обнаружена в функционале автозаполнения форм,
- sql injection: уязвимость позволяла пользователям с повышенными правами внедрять вредоносный код в sql-комментарии,
- form api: злоумышленник мог загружать файлы на сайт из-под учетной записи другого пользователя,
- access system: пользователи, не имеющие доступа к контенту, могут видеть заголовки нод, добавленных другими пользователями, в результате чего доступ к запрещенному содержимому может быть получен.
Для устранения этих уязвимостей необходимо обновить ядро Друпал до актуальных на данный момент.
Также были обнаружены множественные уязвимости в стороннем модуле Chaos Tool suite - ctools: один из самых используемых модулей в разработке Друпал-сайтов.
Идентификатор уязвимости - SA-CONTRIB-2015-141, степень опасности - 14/25 "Умеренно критический".
Сам модуль предоставляет всевозможные api для работы с материалами, а также является необходимым для работы множества других популярных модулей, таких как Views (представления), Panels, Entityreference, Features и других.
Смысл обнаруженной уязвимости можно описать так - злоумышленник может получить доступ к редактированию материала (не смотря на отсутствие разрешений) через "экраны редактирования", предоставляемые другими модулями, например Mini Panels, Panelizer и т.п. Ctools не проверяет наследование разрешений на доступ к редактированию материалов для дочерних объектов.
Решение - обновление модуля ctools до актуальной версии.
Ссылки на офсайт:
ядро - https://www.drupal.org/SA-CORE-2015-003
ctools - https://www.drupal.org/node/2554145