В Drupal обнаружена критическая уязвимость

Все сайты на базе открытой системы управления контентом (CMS) Drupal версий с индексом ниже 7.58 или 8.5.1, как оказалось, содержат критическую уязвимость, которая позволяет захватить контроль над этой CMS. Анонсируя выпуск патчей, разработчики Drupal предупредили в конце марта 2018 г., что эксплойты могут быть готовы в пределах нескольких часов после того, как информация об этом баге будет раскрыта публично.

Баг, получивший индекс CVE-2018-7600, позволяет злоумышленнику запускать любой произвольный код в контекст ядра CMS, что открывает ему возможность захватывать веб-сайт. Злоумышленнику не понадобится ни регистрироваться, ни авторизоваться на сайте. Все, что ему необходимо, это URL-ссылка.

Баг уже назвали Drupalgeddon2. Первый Drupalgeddon — это баг 2014 г. (CVE-2014-3704), связанный с возможностью SQL-инъекции — внедрения произвольного SQL-кода для взлома сайтов. Этот баг использовался потом злоумышленниками в течение нескольких лет.

Угроза от Drupalgeddon2 немного меньше (21 из 25 балла по собственной шкале Drupal, а не 25 из 25, как с первым Drupalgeddon), но тоже слишком высока, с точки зрения разработчиков, чтобы ее игнорировать.

Версия для печатиВерсия для печати

Регион: 

Рубрики: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя Dmitry

Логик, в политике дураков нет, все друг друга прекрасно слышат, но делают по-своему. Поэтому в мире постоянно "происходит серьезный и тревожный процесс". Если за Друпал сказать нечего, то на сим и закончим.

Dmitry пишет:

Логик, в политике дураков нет, все друг друга прекрасно слышат, но делают по-своему. Поэтому в мире постоянно "происходит серьезный и тревожный процесс". Если за Друпал сказать нечего, то на сим и закончим.

Drupal и есть  постоянно происходящий "серьезный и тревожный процесс". (С)

-1

Страницы