-
Устранены уязвимости в ядре Друпал
Разработчики Друпал сообщили об устранении уязвимости в ядре Друпал 6 и 7.
Новость получила идентификатор SA-CORE-2015-003, самой уязвимости присвоен статус 18/25, что означает "Критический". Затрагиваемые системы:
- ajax: xss, злоумышленник может внедрить в выдаваемую страницу вредоносный код; уязвимость в большей степени затрагивает ядро Друпал 7 и затрагивает те сайты, на которых посетители имеют возможность создавать материалы в формате html,
- autocompete: уязвимость была обнаружена в функционале автозаполнения форм,
- sql injection: уязвимость позволяла пользователям с повышенными правами внедрять вредоносный код в sql-комментарии,
- form api: злоумышленник мог загружать файлы на сайт из-под учетной записи другого пользователя,
- access system: пользователи, не имеющие доступа к контенту, могут видеть заголовки нод, добавленных другими пользователями, в результате чего доступ к запрещенному содержимому может быть получен.
Для устранения этих уязвимостей необходимо обновить ядро Друпал до актуальных на данный момент.
Также были обнаружены множественные уязвимости в стороннем модуле Chaos Tool suite - ctools: один из самых используемых модулей в разработке Друпал-сайтов.
Идентификатор уязвимости - SA-CONTRIB-2015-141, степень опасности - 14/25 "Умеренно критический".
Сам модуль предоставляет всевозможные api для работы с материалами, а также является необходимым для работы множества других популярных модулей, таких как Views (представления), Panels, Entityreference, Features и других.
Смысл обнаруженной уязвимости можно описать так - злоумышленник может получить доступ к редактированию материала (не смотря на отсутствие разрешений) через "экраны редактирования", предоставляемые другими модулями, например Mini Panels, Panelizer и т.п. Ctools не проверяет наследование разрешений на доступ к редактированию материалов для дочерних объектов.
Решение - обновление модуля ctools до актуальной версии.
Ссылки на офсайт:
ядро - https://www.drupal.org/SA-CORE-2015-003
ctools - https://www.drupal.org/node/2554145
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Val_Ery, спасибо, полезная информация. Пригодится.
-
-
Устранены очередные критические уязвимости в Друпал (речь об уязвимостях с рисками более 16/25 по классификации Друпал, что можно обозвать словами "достаточно опасные")
1) DRUPAL-SA-CONTRIB-2015-168 - https://www.drupal.org/node/2627448
Устранена уязвимость в модуле Моллом (защита сайтов от спама) - злоумышленник мог "управлять" черным списком, внося в него изменения, добавляя свои условия etc.
Уязвимость затрагивает Друпал 6-ой версии.
2) DRUPAL-PSA-CONTRIB-2015-001 - https://www.drupal.org/PSA-2015-001
Критическая уязвимость, затрагивающая ядра версий 6, 7 и 8.
Касается систем, устанавливаемых "удаленно", например, на хостинг. В случаях, когда установка системы не завершена (остановлена или просто файлы были "залиты" на сервер), злоумышленник может использовать удаленную базу данных для выполнения кода на сервере.
Как выясняется, ситуация достаточно распространенная. Буквально с неделю назад наблюдал подобное у одного из разработчиков: установщик (правда не Друпал, а ДЛЕ) был доступен несколько дней по имени сайта в сети. Народ решил сменить CMS'ку, залил файлы системы на хостинг и ... на это "забил".
Уязвимость "разрешается" удалением прав на запись каталогов sites и sites/default для веб-сервера.
Подробности - в приведенных выше ссылках...