The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..."  +/
Сообщение от opennews (??) on 23-Июн-17, 10:07 
В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 (https://www.drupal.org) устранены три уязвимости (https://www.drupal.org/SA-CORE-2017-003). Одной из проблем (CVE-2017-6920 (https://security-tracker.debian.org/tracker/CVE-2017-6920)) присвоен наивысший уровень опасности - ошибка в обработчике сериализации объектов  в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера.


Вторая уязвимость (CVE-2017-6921 (https://security-tracker.debian.org/tracker/CVE-2017-6921)) присутствует в коде проверки REST-параметров, через которые осуществляется обработка файлов. На сайтах, на которых включен модуль rest (RESTful Web Services), активирован REST-ресурс file и разрешены запросы PATCH, атакующий может получить или зарегистрировать учётную запись пользователя с правами загрузки файлов и изменения ресурса file.


Третья уязвимость (CVE-2017-6922 (https://security-tracker.debian.org/tracker/CVE-2017-6922)) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.


URL: https://www.drupal.org/SA-CORE-2017-003
Новость: http://www.opennet.dev/opennews/art.shtml?num=46749

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..."  +4 +/
Сообщение от Аноним (??) on 23-Июн-17, 14:46 
> Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.

Что нарушает анонимность анонимных пользователей со стороны других анонимных пользователей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..."  +1 +/
Сообщение от YetAnotherOnanym (ok) on 23-Июн-17, 16:47 
> позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями

Вот так выпускник трёхнедельных курсов уеб-дизайна Вася наградил каждого заказчика анонимной файлопомойкой, даже не догадываясь об этом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру