forum.opennet.ru - "Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..." (2)

"Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..."	+/–
Сообщение от opennews (??) on 23-Июн-17, 10:07
В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 (https://www.drupal.org) устранены три уязвимости (https://www.drupal.org/SA-CORE-2017-003). Одной из проблем (CVE-2017-6920 (https://security-tracker.debian.org/tracker/CVE-2017-6920)) присвоен наивысший уровень опасности - ошибка в обработчике сериализации объектов в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера. Вторая уязвимость (CVE-2017-6921 (https://security-tracker.debian.org/tracker/CVE-2017-6921)) присутствует в коде проверки REST-параметров, через которые осуществляется обработка файлов. На сайтах, на которых включен модуль rest (RESTful Web Services), активирован REST-ресурс file и разрешены запросы PATCH, атакующий может получить или зарегистрировать учётную запись пользователя с правами загрузки файлов и изменения ресурса file. Третья уязвимость (CVE-2017-6922 (https://security-tracker.debian.org/tracker/CVE-2017-6922)) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта. URL: https://www.drupal.org/SA-CORE-2017-003 Новость: http://www.opennet.dev/opennews/art.shtml?num=46749
Ответить \| Правка \| Cообщить модератору

Оглавление

Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..., Аноним, 14:46 , 23-Июн-17, (3) +4
Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..., YetAnotherOnanym, 16:47 , 23-Июн-17, (4) +1

Сообщения по теме [Сортировка по времени | RSS]

3. "Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..." +4 +/–

Сообщение от Аноним (??) on 23-Июн-17, 14:46

> Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.
Что нарушает анонимность анонимных пользователей со стороны других анонимных пользователей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..." +1 +/–

Сообщение от YetAnotherOnanym (ok) on 23-Июн-17, 16:47

> позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями
Вот так выпускник трёхнедельных курсов уеб-дизайна Вася наградил каждого заказчика анонимной файлопомойкой, даже не догадываясь об этом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. "Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..."	+4 +/–
Сообщение от Аноним (??) on 23-Июн-17, 14:46
> Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта. Что нарушает анонимность анонимных пользователей со стороны других анонимных пользователей.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

4. "Обновление Drupal 8.3.4 и 7.56 с устранением критической уяз..."	+1 +/–
Сообщение от YetAnotherOnanym (ok) on 23-Июн-17, 16:47
> позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями Вот так выпускник трёхнедельных курсов уеб-дизайна Вася наградил каждого заказчика анонимной файлопомойкой, даже не догадываясь об этом.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору