The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости в Drupal"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Drupal"  +/
Сообщение от opennews (??), 24-Окт-18, 10:53 
В системе управления контентом Drupal выявлены (https://www.drupal.org/sa-core-2018-006) две критические уязвимости, позволяющие выполнить код на сервере.  Проблемы устранены в выпусках Drupal 7.60 (https://www.drupal.org/project/drupal/releases/7.60), 8.5.8 (http://www.drupal.org/project/drupal/releases/8.5.8) и  8.6.2 (http://www.drupal.org/project/drupal/releases/8.6.2).


Первая уязвимость затрагивает Drupal 7 и Drupal 8 и связана с отсутствием должного экранирования спецсимволов в функции DefaultMailSystem::mail(). При отправке сообщения на email не все переменные проверяются, что позволяет передать утилите sendmail произвольные аргументы командной строки и инициировать выполнение своего кода.


Вторая уязвимость присутствует только в Drupal 8 и вызвана отсутствием необходимой чистки контекстных ссылок в модуле Contextual Links.  Через передачу специально оформленной контекстной ссылки атакующий может добиться выполнения своего кода в системе. Для атаки необходим доступ с правами, разрешающими работу с контекстными ссылками.


Кроме того, в новых выпусках также устранены три уязвимости, отнесённые к категории "Moderately critical": ошибка проверки доступа в системе модерировния контента, возможность проброса на сторонний URL в системе внутренних коротких ссылок и возможность перенаправления на сторонний сайт после совершения определённых действий на странице.


URL: https://www.drupal.org/sa-core-2018-006
Новость: https://www.opennet.dev/opennews/art.shtml?num=49488

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в Drupal"  +/
Сообщение от Аноним (1), 24-Окт-18, 10:53 
С пробуждением. Уже неделю как все обновились
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в Drupal"  +4 +/
Сообщение от КГБ СССР (?), 24-Окт-18, 10:59 
> и связана с отсутствием должного экранирования спецсимволов в функции

Интересно, как при таком уровне профессионализма они пишут всё остальное.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимости в Drupal"  +4 +/
Сообщение от уебмакак (?), 24-Окт-18, 11:45 
> Интересно, как при таком уровне профессионализма они пишут всё остальное.

быстро, очень-очень быстро пишем!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Уязвимости в Drupal"  +/
Сообщение от КГБ СССР (?), 24-Окт-18, 12:23 
>> Интересно, как при таком уровне профессионализма они пишут всё остальное.
> быстро, очень-очень быстро пишем!

Ай нанэ нанэ!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

47. "Уязвимости в Drupal"  –1 +/
Сообщение от Гентушник (ok), 25-Окт-18, 09:49 
Так же как и разработчики ядра пишут код приводящий затем к переполнению буфера.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в Drupal"  +1 +/
Сообщение от Аноним (3), 24-Окт-18, 11:11 
Осасные уязвимости
Исправьте в соц сетях)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимости в Drupal"  +3 +/
Сообщение от blzz (?), 24-Окт-18, 12:27 
сесурити в осасноти!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Уязвимости в Drupal"  +/
Сообщение от Аноним (4), 24-Окт-18, 11:26 
Может уже пора переименовать Drupal в Уязвимость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Уязвимости в Drupal"  +1 +/
Сообщение от A (?), 24-Окт-18, 16:02 
Просто читайте как "Дрюпаль" :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

35. "Уязвимости в Drupal"  +1 +/
Сообщение от .. (?), 24-Окт-18, 21:04 
вздрюпаль тогда
нас вздрюпали! - и всем всё ясно, ёмкая фраза получается
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

6. "Уязвимости в Drupal"  +/
Сообщение от InuYasha (?), 24-Окт-18, 11:55 
А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз Drupal, Joomla, Wordpress, DragonflyCMS...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в Drupal"  +/
Сообщение от гг (?), 24-Окт-18, 12:04 
пилить? или накидать кала, авось и так сойдет
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимости в Drupal"  +2 +/
Сообщение от нах (?), 24-Окт-18, 12:28 
> А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз
> Drupal, Joomla, Wordpress, DragonflyCMS...

а зачем вообще что-то пилить? Сайты немодно, их скоро вообще гугл запретит, перестав открывать что-то кроме самого себя, так что пилите блох в свитере, кАнал в телеграсте и что там еще - а, акаунт в хипстаграме.

сайт-визитку со ссылками на все это - ну, в гуглосайтах сделайте, там готовый шаблон.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Уязвимости в Drupal"  +1 +/
Сообщение от Аноним (-), 24-Окт-18, 13:02 
Проблема капли неповоротливый комитет который занимается обсуждалками, написаниями всяких правил в духе уважать геев - ничего хорошего из результата такой деятельности не получится.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Уязвимости в Drupal"  +2 +/
Сообщение от Попугай Кеша (?), 24-Окт-18, 14:03 
Вот вы смеетесь, а ведь так и будет.

Сетевой нейтралитет отменяетяс
HTTPS теперь везде, мартышкам сложнее сделать сайт без него
Да и сайт? Зачем? Сложно же. Проще паблик в ВК запилить или в FB. Для фоточек - инстаграм.

А сайт-то зачем? Да забудьте! Будьте современным ;)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

37. "Уязвимости в Drupal"  –2 +/
Сообщение от Sw00p aka Jerom (?), 24-Окт-18, 21:19 
согласен, давно пора избавится от всего ввв, мейла и всякой хрени напридуманной 50 лет назад
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Уязвимости в Drupal"  +/
Сообщение от шухер (?), 24-Окт-18, 16:03 
>> в хипстаграме

В вконтаграме.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Уязвимости в Drupal"  –1 +/
Сообщение от КГБ СССР (?), 24-Окт-18, 12:37 
> А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз
> Drupal, Joomla, Wordpress, DragonflyCMS...

На HTML 4.01 или XTML 1.0/1.1 при поддержке CSS 2. Поверь, результат бесконечно обрадует тебя и посетителей твоего сайта.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Уязвимости в Drupal"  +2 +/
Сообщение от Аноним (15), 24-Окт-18, 13:21 
На /cgi-bin/
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Уязвимости в Drupal"  +/
Сообщение от КГБ СССР (?), 24-Окт-18, 13:35 
> На /cgi-bin/

Боюсь, тут мало тех, кто знает (помнит) эти слова. :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

38. "Уязвимости в Drupal"  +/
Сообщение от Sw00p aka Jerom (?), 24-Окт-18, 21:20 
hell-world.exe ))))))
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

39. "Уязвимости в Drupal"  +/
Сообщение от Sw00p aka Jerom (?), 24-Окт-18, 21:21 
о - не допечатал
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

46. "Уязвимости в Drupal"  +/
Сообщение от pull request (?), 24-Окт-18, 23:09 
даже лучше получилось
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

50. "Уязвимости в Drupal"  +/
Сообщение от КГБ СССР (?), 25-Окт-18, 11:47 
> даже лучше получилось

Точно.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

51. "Уязвимости в Drupal"  +/
Сообщение от КГБ СССР (?), 25-Окт-18, 11:47 
> hell-world.exe ))))))

Не в бровь, а в глаз!

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

16. "Уязвимости в Drupal"  +/
Сообщение от InuYasha (?), 24-Окт-18, 13:31 
Уточняю: есть /var/www/ и радость установки LAMP.
Раньше у меня был сайт на postnuke-подобном движке, пока его не забросили и всё время не стало уходить на дырозатыкание. Пришлось закрыть. Всякие облака-белогривые-гуглошадки даже не рассматриваю. Всё своё должно быть своим.

Сейчас, как я понял, модно - фреймворки, фронтенды...

Но хотелось бы классический "портал" - на нормальном HTML с CSS, без JS. Чтобы были темы (шаблоны) по выбору юзеров, блоки, новости, галерея, ...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Уязвимости в Drupal"  +/
Сообщение от vitalif (ok), 24-Окт-18, 13:56 
Пилить - на голом языке, без cms. В принципе на любом, хоть на том же пыхе. Просто следовать простым правилам безопасности а-ля OWASP и будет все норм.

Набросать сайтик непрограммисту / "сайт салона красоты" или еще какую то мелочь - wordpress, просто анально ограничить его на сервере путем помещения в докер + запрета выполнения в папках загрузок + ручного перечисления нужных entry point'ов + https + basic auth на всю админку сразу. Норм, и волки сыты, и овцы целы

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Уязвимости в Drupal"  +/
Сообщение от Попугай Кеша (?), 24-Окт-18, 14:04 
Для сайта салона красоты не нужна CMS.

Проще посадить заказчика на облако а-ля PAAS и сделать фронтенд на чем угодно. Вам только нужен генератор статических сайтов + верстальщик с руками и дизайнер с головой.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

26. "Уязвимости в Drupal"  +/
Сообщение от vitalif (ok), 24-Окт-18, 14:46 
Вот именно, что нужен верстальщик с головой

А если есть в наличии только владелец салона красоты?))

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "Уязвимости в Drupal"  +/
Сообщение от Ирокез (?), 24-Окт-18, 17:45 
Нанять верстальщика за вменяемое вознаграждение. Когда пытаются обойтись своими силами получается примерно вот так: www.amur.info (чтобы почувствовать ВСЮ боль отключите адблок)
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

45. "Уязвимости в Drupal"  +/
Сообщение от пох (?), 24-Окт-18, 22:55 
вчера Через Благовещенскую таможню пытались провезти майнеры для криптовалют
вчера Благовещенец выплатил 300 000 рублей алиментов, чтобы не лишиться водительских прав
вчера Благовещенец украл из закрытой машины почти два миллиона рублей
(вот где он взял 300000)
вчера Полиция Приморья предлагает 400 тысяч за информацию о разыскиваемом
(что-то я не понял, где тут профит- он же им должен был 300)

интересно живут люди в Благовещенске, да и сайт в общем почти нормальный (адблока нет, есть noscript, удивительно, но факт - этот сайт без js вполне работает)

а, ну так что вы хотите-то: Житель города Нерюнгри, ехавший в поезде Нерюнгри – Хабаровск, вез в банке с вареньем почти 19 граммов гaшишного масла.

в тынде менты поганые, соглашусь.

(и тутошний скрипт не лучше)

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

33. "Уязвимости в Drupal"  +/
Сообщение от Аноним (33), 24-Окт-18, 19:45 
Будь брутален, как звездец, сделай свой блог на https://jekyllrb.com/. Пиши посты в vim'е и коммить в гит!
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

41. "Уязвимости в Drupal"  +2 +/
Сообщение от пох (?), 24-Окт-18, 22:40 
> Чтобы были темы (шаблоны) по выбору юзеров, блоки, новости, галерея, ...

ну лет за стописят допилишь - хоть на "cgi-bin", хоть на чем.

и да, не забудь прекрасный jquery-file-upload, потому что никакими силами кроме аякса невозможно нарисовать прогресс-бар при заливе картинок в эту самую галерею - а браузеры таковым штатно почему-то не оборудованы. Успехов тебе использовать его без js.

и да, в отличие от ненужнопищалкоперделок - это - нормальная забота о пользователе, которому нужно понимание-  это вот оно просто так висит, или "ага, уже больше половины закачалось, щас покажется".

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "Уязвимости в Drupal"  +1 +/
Сообщение от Michael Shigorinemail (ok), 24-Окт-18, 15:11 
TYPO3 ещё, но оно не для визиток.  Есть хорошо зарекомендовавшие себя старые знакомые в ttlab.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

31. "Уязвимости в Drupal"  +/
Сообщение от имя (?), 24-Окт-18, 16:28 
Jekyll или какой статический генератор сайтов вместо него нынче в моде. Комменты вы всё равно отключите с первым наездом РКН на очередного распространителя немодерируемой информации.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

42. "Уязвимости в Drupal"  +1 +/
Сообщение от пох (?), 24-Окт-18, 22:45 
> с первым наездом РКН

ага, щас:

pay for essay writing a href(опять он не смог в bbcode)
cialis prezzo [а этот смог, жаль что в комментах ссылки не показываются]- viagra without a doctor canadian pharmacy

роспозору - совершенно пофиг (хотя тут прямо вот уголовный кодекс. Но не применяемый на практике).

а вот твоим пользователям нифига не пофиг, и либо они уйдут с твоего сайта очень быстро, либо придется озадачиться тем, чтобы "немодерируемая информация" быстренько пополняла /dev/null

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Уязвимости в Drupal"  –1 +/
Сообщение от Аноним (34), 24-Окт-18, 20:18 
На чём-то, что не написано на PHP/Perl.

Прекрасно подойдут продукты на Python/RoR.

// b.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Уязвимости в Drupal"  –1 +/
Сообщение от Отсутствуют данные в поле Name (?), 24-Окт-18, 13:20 
Зобейте ... зобейте на все похапешное, я вас как человеков прошу ... (помирает)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимости в Drupal"  +/
Сообщение от vitalif (ok), 24-Окт-18, 13:51 
Мне интересно, когда-то вообще могут ЗАКОНЧИТЬСЯ дыры в вордпрессе, друпале и прочих какаCMS? Или там задел на ближайшие 100 лет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Уязвимости в Drupal"  +1 +/
Сообщение от КГБ СССР (?), 24-Окт-18, 13:57 
> Мне интересно, когда-то вообще могут ЗАКОНЧИТЬСЯ дыры в вордпрессе, друпале и прочих
> какаCMS? Или там задел на ближайшие 100 лет?

Никогда. Точнее, пока не прекратится вот это: https://www.opennet.dev/openforum/vsluhforumID3/115644.html

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Уязвимости в Drupal"  –5 +/
Сообщение от Попугай Кеша (?), 24-Окт-18, 14:04 
При чем тут вообще нода?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Уязвимости в Drupal"  +4 +/
Сообщение от КГБ СССР (?), 24-Окт-18, 16:25 
> При чем тут вообще нода?

Купи себе для начала мозг.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

48. "Уязвимости в Drupal"  +/
Сообщение от Попугай Кеша (?), 25-Окт-18, 10:16 
У меня он уже есть. А вот у тебя его нет! А-ха-ха-ха-ха!
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

49. "Уязвимости в Drupal"  +/
Сообщение от КГБ СССР (?), 25-Окт-18, 11:46 
Какая смешная шутка! Заливисто смеюсь! Петросян тобой бы гордился, анон.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

52. "Уязвимости в Drupal"  +/
Сообщение от Попугай Кеша (?), 26-Окт-18, 12:22 
> Какая смешная шутка! Заливисто смеюсь! Петросян тобой бы гордился, анон.

Молодец. Возьми с полки пирожок

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

40. "Уязвимости в Drupal"  +/
Сообщение от Аноним (40), 24-Окт-18, 22:13 
На хабре писали, что на волне sjw-хайпа хотели выгнать из друпала одного из ведущих разрабов за BDSM. И вот последствия
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Уязвимости в Drupal"  +/
Сообщение от пох (?), 24-Окт-18, 22:47 
в смысле, теперь твои пользователи не могут устроить тебе сеанс bdsm, и ты по этому поводу плачешь? Баг-то исправлен, а не наоборот - и судя по набору версий, существовал он еще во времена спокойно жизни bdsm'щика.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

53. "Уязвимости в Drupal"  +/
Сообщение от Аноним (53), 29-Окт-18, 07:06 
>> Пилить - на голом языке, без cms.

Посмеялся..
И пусть весь мир подождет(с)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру