https://www.opennet.dev/openforum/vsluhforumID3/114161.html Спустя менее месяца с момента исправления (https://www.opennet.ru/opennews/art.shtml?num=48348) прошлой критической проблемы в системе управления контентом Drupal выявлена (https://www.drupal.org/sa-core-2018-004) новая уязвимость (CVE-2018-7602 (https://security-tracker.debian.org/tracker/CVE-2018-7602)), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса. Проблема затрагивает ветки Drupal 7.x и 8.x.<br><br><br><br>Опасность уязвимости усугубляет наличие (https://pastebin.com/pRM8nmwj) в открытом доступе рабочего прототипа эксплоита и использование уязвимости для проведения атак по захвату управления сайтами на базе Drupal или внедрения на них вредоносных блоков, бэкдоров или кода для майнинга криптовалюты. Всем администраторам сайтов на базе Drupal рекомендуется незамедлительно установить обновление и провести анализ логов и файлов на предмет возможной компрометации. Для исправления уязвимости оперативно сформированы (https://www.drupal.org/psa-20 https://www.opennet.dev/openforum/vsluhforumID3/114161.html#41 Sun, 29 Apr 2018 05:17:03 GMT Вышло исправление для старой версии модуля Media 1.6, закрывающее уязвимость.<br>https://www.drupal.org/project/media/releases/7.x-1.7<br> https://www.opennet.dev/openforum/vsluhforumID3/114161.html#40 Sat, 28 Apr 2018 06:51:17 GMT &gt; Ау! В Firefox появится защита от CSRF-атак.<br><br>забыл добавить "если только её включть".<br><br>таким образом грошь ей цена.<br><br>потомучто CSRFзащиту можно было включить и раньше, например через csrftoken<br> https://www.opennet.dev/openforum/vsluhforumID3/114161.html#39 Fri, 27 Apr 2018 16:56:32 GMT кого и от чего ты собрался защищать? <br>Если вместо вебсервера твоей конторы красуется Чорный Властелин - клиенты говорят "до свидания" и идут к другим, что _еще_ после этого ты собрался защищать?<br><br>Если сервер твоего проекта за пять секунд намертво встревает во все возможные и невозможные блэклисты из-за рассылки спама мегатоннами, и ты не можешь даже выслать клиенту подтвердение регистрации (и он опять удивленно пожимает плечами и идет к конкурентам) - кого и от чего ты еще собрался защищать? <br><br>Если просто тихо майнит не в твою пользу - тогда и защищать нечего и не от кого.<br><br>А если сервер для галочки, а на самом деле ты на рынке носками торгуешь, то опять же нечего и не от кого - никто и не заметит, что его поимели, еще и десять лет спустя.<br><br> https://www.opennet.dev/openforum/vsluhforumID3/114161.html#38 Fri, 27 Apr 2018 07:49:00 GMT Модуль Media (https://www.drupal.org/project/media) тоже уязвим. Исправления уже есть, кроме устаревшей ветки 1.xx.<br> https://www.opennet.dev/openforum/vsluhforumID3/114161.html#37 Fri, 27 Apr 2018 07:42:05 GMT Drupal 7-ка уже фактически заброшена. Все не желающие переходить на 8-ку пилят Backdrop CMS (форк 7-ки).<br>TYPO3 другой уровень, но дырки тоже есть: https://www.cybersecurity-help.cz/vdb/SB2017122505?affChecked=1<br>Главное защитить инфраструктуру - поднимать веб-сервер с максимальной изоляцией сервисов.<br> https://www.opennet.dev/openforum/vsluhforumID3/114161.html#35 Thu, 26 Apr 2018 19:19:38 GMT &gt; Вначале разработчики Drupal скептически отнеслись к возможности проведения реальных атак при помощи уязвимости CVE-2018-7602, но после сообщений о проведении таких атак пересмотрели свою позицию<br><br>Кодеры такие кодеры. <br> https://www.opennet.dev/openforum/vsluhforumID3/114161.html#34 Thu, 26 Apr 2018 17:41:00 GMT Может просто надо нанять профессионалов и им деньги платить?<br>Сейчас разрабав друпол легко понять. Им влом смотреть ваши багрепорты пока сам сайт друпала не ломанут.<br> https://www.opennet.dev/openforum/vsluhforumID3/114161.html#31 Thu, 26 Apr 2018 12:02:55 GMT ненужен такой вирус, нужен майнер<br> https://www.opennet.dev/openforum/vsluhforumID3/114161.html#29 Thu, 26 Apr 2018 11:46:08 GMT В шестерке что эта, что предыдущая дыра также присутствует. И именно поэтому она есть в 7-ке и 8-ке, так как этот легаси код переносили без особых изменений.<br>