Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Drupal"	+/–
Сообщение от opennews (??), 24-Окт-18, 10:53
В системе управления контентом Drupal выявлены (https://www.drupal.org/sa-core-2018-006) две критические уязвимости, позволяющие выполнить код на сервере.  Проблемы устранены в выпусках Drupal 7.60 (https://www.drupal.org/project/drupal/releases/7.60), 8.5.8 (http://www.drupal.org/project/drupal/releases/8.5.8) и  8.6.2 (http://www.drupal.org/project/drupal/releases/8.6.2). Первая уязвимость затрагивает Drupal 7 и Drupal 8 и связана с отсутствием должного экранирования спецсимволов в функции DefaultMailSystem::mail(). При отправке сообщения на email не все переменные проверяются, что позволяет передать утилите sendmail произвольные аргументы командной строки и инициировать выполнение своего кода. Вторая уязвимость присутствует только в Drupal 8 и вызвана отсутствием необходимой чистки контекстных ссылок в модуле Contextual Links.  Через передачу специально оформленной контекстной ссылки атакующий может добиться выполнения своего кода в системе. Для атаки необходим доступ с правами, разрешающими работу с контекстными ссылками. Кроме того, в новых выпусках также устранены три уязвимости, отнесённые к категории "Moderately critical": ошибка проверки доступа в системе модерировния контента, возможность проброса на сторонний URL в системе внутренних коротких ссылок и возможность перенаправления на сторонний сайт после совершения определённых действий на странице. URL: https://www.drupal.org/sa-core-2018-006 Новость: https://www.opennet.dev/opennews/art.shtml?num=49488
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Уязвимости в Drupal"	+/–
Сообщение от Аноним (1), 24-Окт-18, 10:53
С пробуждением. Уже неделю как все обновились
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимости в Drupal"	+4 +/–
Сообщение от КГБ СССР (?), 24-Окт-18, 10:59
> и связана с отсутствием должного экранирования спецсимволов в функции Интересно, как при таком уровне профессионализма они пишут всё остальное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Уязвимости в Drupal"	+4 +/–
	Сообщение от уебмакак (?), 24-Окт-18, 11:45
	> Интересно, как при таком уровне профессионализма они пишут всё остальное. быстро, очень-очень быстро пишем!
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "Уязвимости в Drupal"	+/–
	Сообщение от КГБ СССР (?), 24-Окт-18, 12:23
	>> Интересно, как при таком уровне профессионализма они пишут всё остальное. > быстро, очень-очень быстро пишем! Ай нанэ нанэ!
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	47. "Уязвимости в Drupal"	–1 +/–
	Сообщение от Гентушник (ok), 25-Окт-18, 09:49
	Так же как и разработчики ядра пишут код приводящий затем к переполнению буфера.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в Drupal"	+1 +/–
Сообщение от Аноним (3), 24-Окт-18, 11:11
Осасные уязвимости Исправьте в соц сетях)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Уязвимости в Drupal"	+3 +/–
	Сообщение от blzz (?), 24-Окт-18, 12:27
	сесурити в осасноти!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Уязвимости в Drupal"	+/–
Сообщение от Аноним (4), 24-Окт-18, 11:26
Может уже пора переименовать Drupal в Уязвимость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	28. "Уязвимости в Drupal"	+1 +/–
	Сообщение от A (?), 24-Окт-18, 16:02
	Просто читайте как "Дрюпаль" :)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	35. "Уязвимости в Drupal"	+1 +/–
	Сообщение от .. (?), 24-Окт-18, 21:04
	вздрюпаль тогда нас вздрюпали! - и всем всё ясно, ёмкая фраза получается
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

6. "Уязвимости в Drupal"	+/–
Сообщение от InuYasha (?), 24-Окт-18, 11:55
А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз Drupal, Joomla, Wordpress, DragonflyCMS...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Уязвимости в Drupal"	+/–
	Сообщение от гг (?), 24-Окт-18, 12:04
	пилить? или накидать кала, авось и так сойдет
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "Уязвимости в Drupal"	+2 +/–
	Сообщение от нах (?), 24-Окт-18, 12:28
	> А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз > Drupal, Joomla, Wordpress, DragonflyCMS... а зачем вообще что-то пилить? Сайты немодно, их скоро вообще гугл запретит, перестав открывать что-то кроме самого себя, так что пилите блох в свитере, кАнал в телеграсте и что там еще - а, акаунт в хипстаграме. сайт-визитку со ссылками на все это - ну, в гуглосайтах сделайте, там готовый шаблон.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	13. "Уязвимости в Drupal"	+1 +/–
	Сообщение от Аноним (-), 24-Окт-18, 13:02
	Проблема капли неповоротливый комитет который занимается обсуждалками, написаниями всяких правил в духе уважать геев - ничего хорошего из результата такой деятельности не получится.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	21. "Уязвимости в Drupal"	+2 +/–
	Сообщение от Попугай Кеша (?), 24-Окт-18, 14:03
	Вот вы смеетесь, а ведь так и будет. Сетевой нейтралитет отменяетяс HTTPS теперь везде, мартышкам сложнее сделать сайт без него Да и сайт? Зачем? Сложно же. Проще паблик в ВК запилить или в FB. Для фоточек - инстаграм. А сайт-то зачем? Да забудьте! Будьте современным ;)
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	37. "Уязвимости в Drupal"	–2 +/–
	Сообщение от Sw00p aka Jerom (?), 24-Окт-18, 21:19
	согласен, давно пора избавится от всего ввв, мейла и всякой хрени напридуманной 50 лет назад
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	29. "Уязвимости в Drupal"	+/–
	Сообщение от шухер (?), 24-Окт-18, 16:03
	>> в хипстаграме В вконтаграме.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	11. "Уязвимости в Drupal"	–1 +/–
	Сообщение от КГБ СССР (?), 24-Окт-18, 12:37
	> А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз > Drupal, Joomla, Wordpress, DragonflyCMS... На HTML 4.01 или XTML 1.0/1.1 при поддержке CSS 2. Поверь, результат бесконечно обрадует тебя и посетителей твоего сайта.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	15. "Уязвимости в Drupal"	+2 +/–
	Сообщение от Аноним (15), 24-Окт-18, 13:21
	На /cgi-bin/
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	17. "Уязвимости в Drupal"	+/–
	Сообщение от КГБ СССР (?), 24-Окт-18, 13:35
	> На /cgi-bin/ Боюсь, тут мало тех, кто знает (помнит) эти слова. :)
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	38. "Уязвимости в Drupal"	+/–
	Сообщение от Sw00p aka Jerom (?), 24-Окт-18, 21:20
	hell-world.exe ))))))
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	39. "Уязвимости в Drupal"	+/–
	Сообщение от Sw00p aka Jerom (?), 24-Окт-18, 21:21
	о - не допечатал
	Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

	46. "Уязвимости в Drupal"	+/–
	Сообщение от pull request (?), 24-Окт-18, 23:09
	даже лучше получилось
	Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

	50. "Уязвимости в Drupal"	+/–
	Сообщение от КГБ СССР (?), 25-Окт-18, 11:47
	> даже лучше получилось Точно.
	Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

	51. "Уязвимости в Drupal"	+/–
	Сообщение от КГБ СССР (?), 25-Окт-18, 11:47
	> hell-world.exe )))))) Не в бровь, а в глаз!
	Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

	16. "Уязвимости в Drupal"	+/–
	Сообщение от InuYasha (?), 24-Окт-18, 13:31
	Уточняю: есть /var/www/ и радость установки LAMP. Раньше у меня был сайт на postnuke-подобном движке, пока его не забросили и всё время не стало уходить на дырозатыкание. Пришлось закрыть. Всякие облака-белогривые-гуглошадки даже не рассматриваю. Всё своё должно быть своим. Сейчас, как я понял, модно - фреймворки, фронтенды... Но хотелось бы классический "портал" - на нормальном HTML с CSS, без JS. Чтобы были темы (шаблоны) по выбору юзеров, блоки, новости, галерея, ...
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	19. "Уязвимости в Drupal"	+/–
	Сообщение от vitalif (ok), 24-Окт-18, 13:56
	Пилить - на голом языке, без cms. В принципе на любом, хоть на том же пыхе. Просто следовать простым правилам безопасности а-ля OWASP и будет все норм. Набросать сайтик непрограммисту / "сайт салона красоты" или еще какую то мелочь - wordpress, просто анально ограничить его на сервере путем помещения в докер + запрета выполнения в папках загрузок + ручного перечисления нужных entry point'ов + https + basic auth на всю админку сразу. Норм, и волки сыты, и овцы целы
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	22. "Уязвимости в Drupal"	+/–
	Сообщение от Попугай Кеша (?), 24-Окт-18, 14:04
	Для сайта салона красоты не нужна CMS. Проще посадить заказчика на облако а-ля PAAS и сделать фронтенд на чем угодно. Вам только нужен генератор статических сайтов + верстальщик с руками и дизайнер с головой.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	26. "Уязвимости в Drupal"	+/–
	Сообщение от vitalif (ok), 24-Окт-18, 14:46
	Вот именно, что нужен верстальщик с головой А если есть в наличии только владелец салона красоты?))
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	32. "Уязвимости в Drupal"	+/–
	Сообщение от Ирокез (?), 24-Окт-18, 17:45
	Нанять верстальщика за вменяемое вознаграждение. Когда пытаются обойтись своими силами получается примерно вот так: www.amur.info (чтобы почувствовать ВСЮ боль отключите адблок)
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	45. "Уязвимости в Drupal"	+/–
	Сообщение от пох (?), 24-Окт-18, 22:55
	вчера Через Благовещенскую таможню пытались провезти майнеры для криптовалют вчера Благовещенец выплатил 300 000 рублей алиментов, чтобы не лишиться водительских прав вчера Благовещенец украл из закрытой машины почти два миллиона рублей (вот где он взял 300000) вчера Полиция Приморья предлагает 400 тысяч за информацию о разыскиваемом (что-то я не понял, где тут профит- он же им должен был 300) интересно живут люди в Благовещенске, да и сайт в общем почти нормальный (адблока нет, есть noscript, удивительно, но факт - этот сайт без js вполне работает) а, ну так что вы хотите-то: Житель города Нерюнгри, ехавший в поезде Нерюнгри – Хабаровск, вез в банке с вареньем почти 19 граммов гaшишного масла. в тынде менты поганые, соглашусь. (и тутошний скрипт не лучше)
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

	33. "Уязвимости в Drupal"	+/–
	Сообщение от Аноним (33), 24-Окт-18, 19:45
	Будь брутален, как звездец, сделай свой блог на https://jekyllrb.com/. Пиши посты в vim'е и коммить в гит!
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	41. "Уязвимости в Drupal"	+2 +/–
	Сообщение от пох (?), 24-Окт-18, 22:40
	> Чтобы были темы (шаблоны) по выбору юзеров, блоки, новости, галерея, ... ну лет за стописят допилишь - хоть на "cgi-bin", хоть на чем. и да, не забудь прекрасный jquery-file-upload, потому что никакими силами кроме аякса невозможно нарисовать прогресс-бар при заливе картинок в эту самую галерею - а браузеры таковым штатно почему-то не оборудованы. Успехов тебе использовать его без js. и да, в отличие от ненужнопищалкоперделок - это - нормальная забота о пользователе, которому нужно понимание-  это вот оно просто так висит, или "ага, уже больше половины закачалось, щас покажется".
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	27. "Уязвимости в Drupal"	+1 +/–
	Сообщение от Michael Shigorin (ok), 24-Окт-18, 15:11
	TYPO3 ещё, но оно не для визиток.  Есть хорошо зарекомендовавшие себя старые знакомые в ttlab.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	31. "Уязвимости в Drupal"	+/–
	Сообщение от имя (?), 24-Окт-18, 16:28
	Jekyll или какой статический генератор сайтов вместо него нынче в моде. Комменты вы всё равно отключите с первым наездом РКН на очередного распространителя немодерируемой информации.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	42. "Уязвимости в Drupal"	+1 +/–
	Сообщение от пох (?), 24-Окт-18, 22:45
	> с первым наездом РКН ага, щас: pay for essay writing a href(опять он не смог в bbcode) cialis prezzo [а этот смог, жаль что в комментах ссылки не показываются]- viagra without a doctor canadian pharmacy роспозору - совершенно пофиг (хотя тут прямо вот уголовный кодекс. Но не применяемый на практике). а вот твоим пользователям нифига не пофиг, и либо они уйдут с твоего сайта очень быстро, либо придется озадачиться тем, чтобы "немодерируемая информация" быстренько пополняла /dev/null
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

	34. "Уязвимости в Drupal"	–1 +/–
	Сообщение от Аноним (34), 24-Окт-18, 20:18
	На чём-то, что не написано на PHP/Perl. Прекрасно подойдут продукты на Python/RoR. // b.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Уязвимости в Drupal"	–1 +/–
Сообщение от Отсутствуют данные в поле Name (?), 24-Окт-18, 13:20
Зобейте ... зобейте на все похапешное, я вас как человеков прошу ... (помирает)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимости в Drupal"	+/–
Сообщение от vitalif (ok), 24-Окт-18, 13:51
Мне интересно, когда-то вообще могут ЗАКОНЧИТЬСЯ дыры в вордпрессе, друпале и прочих какаCMS? Или там задел на ближайшие 100 лет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "Уязвимости в Drupal"	+1 +/–
	Сообщение от КГБ СССР (?), 24-Окт-18, 13:57
	> Мне интересно, когда-то вообще могут ЗАКОНЧИТЬСЯ дыры в вордпрессе, друпале и прочих > какаCMS? Или там задел на ближайшие 100 лет? Никогда. Точнее, пока не прекратится вот это: https://www.opennet.dev/openforum/vsluhforumID3/115644.html
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	23. "Уязвимости в Drupal"	–5 +/–
	Сообщение от Попугай Кеша (?), 24-Окт-18, 14:04
	При чем тут вообще нода?
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	30. "Уязвимости в Drupal"	+4 +/–
	Сообщение от КГБ СССР (?), 24-Окт-18, 16:25
	> При чем тут вообще нода? Купи себе для начала мозг.
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	48. "Уязвимости в Drupal"	+/–
	Сообщение от Попугай Кеша (?), 25-Окт-18, 10:16
	У меня он уже есть. А вот у тебя его нет! А-ха-ха-ха-ха!
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	49. "Уязвимости в Drupal"	+/–
	Сообщение от КГБ СССР (?), 25-Окт-18, 11:46
	Какая смешная шутка! Заливисто смеюсь! Петросян тобой бы гордился, анон.
	Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

	52. "Уязвимости в Drupal"	+/–
	Сообщение от Попугай Кеша (?), 26-Окт-18, 12:22
	> Какая смешная шутка! Заливисто смеюсь! Петросян тобой бы гордился, анон. Молодец. Возьми с полки пирожок
	Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

40. "Уязвимости в Drupal"	+/–
Сообщение от Аноним (40), 24-Окт-18, 22:13
На хабре писали, что на волне sjw-хайпа хотели выгнать из друпала одного из ведущих разрабов за BDSM. И вот последствия
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	43. "Уязвимости в Drupal"	+/–
	Сообщение от пох (?), 24-Окт-18, 22:47
	в смысле, теперь твои пользователи не могут устроить тебе сеанс bdsm, и ты по этому поводу плачешь? Баг-то исправлен, а не наоборот - и судя по набору версий, существовал он еще во времена спокойно жизни bdsm'щика.
	Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

53. "Уязвимости в Drupal"	+/–
Сообщение от Аноним (53), 29-Окт-18, 07:06
>> Пилить - на голом языке, без cms. Посмеялся.. И пусть весь мир подождет(с)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема