Показано с 1 по 3 из 3.

Устранены уязвимости в ядре Друпал

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    485
    Вес репутации
    443

    Устранены уязвимости в ядре Друпал

    Разработчики Друпал сообщили об устранении уязвимости в ядре Друпал 6 и 7.

    Новость получила идентификатор SA-CORE-2015-003, самой уязвимости присвоен статус 18/25, что означает "Критический". Затрагиваемые системы:
    - ajax: xss, злоумышленник может внедрить в выдаваемую страницу вредоносный код; уязвимость в большей степени затрагивает ядро Друпал 7 и затрагивает те сайты, на которых посетители имеют возможность создавать материалы в формате html,
    - autocompete: уязвимость была обнаружена в функционале автозаполнения форм,
    - sql injection: уязвимость позволяла пользователям с повышенными правами внедрять вредоносный код в sql-комментарии,
    - form api: злоумышленник мог загружать файлы на сайт из-под учетной записи другого пользователя,
    - access system: пользователи, не имеющие доступа к контенту, могут видеть заголовки нод, добавленных другими пользователями, в результате чего доступ к запрещенному содержимому может быть получен.

    Для устранения этих уязвимостей необходимо обновить ядро Друпал до актуальных на данный момент.

    Также были обнаружены множественные уязвимости в стороннем модуле Chaos Tool suite - ctools: один из самых используемых модулей в разработке Друпал-сайтов.
    Идентификатор уязвимости - SA-CONTRIB-2015-141, степень опасности - 14/25 "Умеренно критический".
    Сам модуль предоставляет всевозможные api для работы с материалами, а также является необходимым для работы множества других популярных модулей, таких как Views (представления), Panels, Entityreference, Features и других.
    Смысл обнаруженной уязвимости можно описать так - злоумышленник может получить доступ к редактированию материала (не смотря на отсутствие разрешений) через "экраны редактирования", предоставляемые другими модулями, например Mini Panels, Panelizer и т.п. Ctools не проверяет наследование разрешений на доступ к редактированию материалов для дочерних объектов.

    Решение - обновление модуля ctools до актуальной версии.

    Ссылки на офсайт:
    ядро - https://www.drupal.org/SA-CORE-2015-003
    ctools - https://www.drupal.org/node/2554145

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Val_Ery, спасибо, полезная информация. Пригодится.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.06.2010
    Сообщений
    485
    Вес репутации
    443
    Устранены очередные критические уязвимости в Друпал (речь об уязвимостях с рисками более 16/25 по классификации Друпал, что можно обозвать словами "достаточно опасные")

    1) DRUPAL-SA-CONTRIB-2015-168 - https://www.drupal.org/node/2627448
    Устранена уязвимость в модуле Моллом (защита сайтов от спама) - злоумышленник мог "управлять" черным списком, внося в него изменения, добавляя свои условия etc.
    Уязвимость затрагивает Друпал 6-ой версии.

    2) DRUPAL-PSA-CONTRIB-2015-001 - https://www.drupal.org/PSA-2015-001
    Критическая уязвимость, затрагивающая ядра версий 6, 7 и 8.
    Касается систем, устанавливаемых "удаленно", например, на хостинг. В случаях, когда установка системы не завершена (остановлена или просто файлы были "залиты" на сервер), злоумышленник может использовать удаленную базу данных для выполнения кода на сервере.
    Как выясняется, ситуация достаточно распространенная. Буквально с неделю назад наблюдал подобное у одного из разработчиков: установщик (правда не Друпал, а ДЛЕ) был доступен несколько дней по имени сайта в сети. Народ решил сменить CMS'ку, залил файлы системы на хостинг и ... на это "забил".
    Уязвимость "разрешается" удалением прав на запись каталогов sites и sites/default для веб-сервера.

    Подробности - в приведенных выше ссылках...

Похожие темы

  1. В VLC Media Player устранены множественные уязвимости
    От ALEX(XX) в разделе Новости компьютерной безопасности
    Ответов: 1
    Последнее сообщение: 30.04.2010, 20:01

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00190 seconds with 19 queries