Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в системе управления контентом Drupal"	+/–
Сообщение от opennews (??), 21-Ноя-20, 10:59
В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2020-13671), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен критический уровень опасности. Проблема устранена в выпусках Drupal... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54127
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 21-Ноя-20, 10:59	+16 +/–
Судя по обилию комментариев, все местные эксперты побежали обновляться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #59

2. Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:16	+14 +/–
Ну... бывает, чо. Зато нет сишных дыреней, нувыпонели.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4

3. Сообщение от Ordu (ok), 21-Ноя-20, 11:19	+12 +/–
Дело фрактала живёт. Теперь сишные дырени проникают в обсуждения без каких-либо усилий с его стороны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5

4. Сообщение от Аноним (4), 21-Ноя-20, 11:24	+5 +/–
А PHP на чём написан? То-то же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

5. Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:40	+4 +/–
Это я его кастую. Не спугни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #46

6. Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:41	+1 +/–
Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP находили критические уязвимости едва ли не каждый день, остались в прошлом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #13, #32

7. Сообщение от Аноним (8), 21-Ноя-20, 11:42	–1 +/–
Уязвимость так и называется Drupal заражает сервера под управлением Линукс.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

8. Сообщение от Аноним (8), 21-Ноя-20, 11:43	–1 +/–
А ты еще вчера обновился и молодец?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #16

9. Сообщение от Аноним (9), 21-Ноя-20, 11:53	+2 +/–
> позволяет загрузить файл вида filename.php.txt, который в определённых серверных конфигурациях при обращении будет выполнен как PHP-код а с чего это вообще уязвимость? Где такие _серверные_ конфигурации, которые имя файла режут и исполняют?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

10. Сообщение от Аноним (11), 21-Ноя-20, 11:57	–3 +/–
WAMP?
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 21-Ноя-20, 11:59	+1 +/–
Где в информации говорится о Linux?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от Аноним (12), 21-Ноя-20, 12:05	+10 +/–
Белки-истерички какие-то. Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php, это исключительно проблема места произрастания рук администратора этого сервера. Друпал, как и любой другой скрипт для аплоада, к этому отношение имеет нулевое. А тут аж cve, да ещё и critical.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #24

13. Сообщение от Аноним (13), 21-Ноя-20, 12:07	–2 +/–
джо стала неуловимым
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от Аноним (13), 21-Ноя-20, 12:08	–1 +/–
а кто кого друпал так и не рассказали
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

16. Сообщение от пох. (?), 21-Ноя-20, 13:28	+1 +/–
У него автообновление, как у всех нормальных пацанов. С утра уже починил все 3d-party плагины которые оно поломало, и спит себе до обеда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #36

17. Сообщение от пох. (?), 21-Ноя-20, 13:38	–7 +/–
> Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php include('filename.php.txt') Ну покажи, покажи же нам, не стесняйся... да не, этим сморчком ты кого хотел удивить, спрячь обратно, не позорься, тут у всех длиннее, покажи нам свой чудо-сервер, настроенный так что такое не запустится. "другой скрипт для аплоада", внезапно, не исполняет как код то что сам же зааплоадил. (Если,конечно, файл не называется phar://чтотатам - но тут скрипт не виноват) А вот дрюпал - могет. > А тут аж cve, да ещё и critical. и без малейших деталей. Что как бе намекает, что дело не в настройках сервера (если только не в таких, которые делают все загруженные файлы недоступными для php пока админ не подтвердит вручную - как оно ДОЛЖНО быть блжад, но никогда не будет до конца юги.)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20, #34, #40

18. Сообщение от Аноним (18), 21-Ноя-20, 13:53	+/–
Никогда такого не было, и вот опять...
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от gogo (?), 21-Ноя-20, 13:55	+1 +/–
дефолтный конфиг Apache?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21, #23

20. Сообщение от Аноним (9), 21-Ноя-20, 14:00	+/–
> include('filename.php.txt') И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include Только проблема будет не в загруженном, а в файле с инклудом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #22

21. Сообщение от Аноним (9), 21-Ноя-20, 14:06	+5 +/–
Что? а файл so.txt он, наверно, как модуль подтягивает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от пох. (?), 21-Ноя-20, 14:21	–1 +/–
> И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить, а txt не будут исполнять. Но в regex забыли $ после php, поэтому вышла такая фигня. > Только проблема будет не в загруженном, а в файле с инклудом. Так это весь дрюпал и есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от Аноним (23), 21-Ноя-20, 14:38	+/–
Разве что у любителей докеров от Васянов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от Аноним (23), 21-Ноя-20, 14:40	+4 +/–
"Контейнер не мой, я просто его развернул"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

25. Сообщение от Аноним (-), 21-Ноя-20, 14:59	–1 +/–
Drupal для тех, кто не может вручную сайт написать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

26. Сообщение от Аноним (18), 21-Ноя-20, 15:25	+4 +/–
Причём сложность написания своего даже меньше, чем что-то под друпал разрабатывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от DEF (?), 21-Ноя-20, 16:03	+6 +/–
Дрюпал еще жив? Вордпресс почти все завхватил уже, вытеснив остальные ЦМСки.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от смузихлёб (?), 21-Ноя-20, 16:26	+6 +/–
Кто-то в 2к20 пользуется ещё Друпалом? Таких веб-сайтов меньше половины процента наверное.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68

29. Сообщение от Alex_K (??), 21-Ноя-20, 16:33	+1 +/–
Проблеме подвержены скорее всего конфигурации с AddType application/x-httpd-php .php Наиболее же безопасным является <FilesMatch "\.php$"> SetHandler application/x-httpd-php </FilesMatch>
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #38

30. Сообщение от Анон1212 (?), 21-Ноя-20, 16:49	+1 +/–
Друпал еще жив? Я думал еще году в 2010 всё
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

31. Сообщение от пох. (?), 21-Ноя-20, 17:19	+1 +/–
Нет, проверь и убедись что с .php.txt у тебя получится text/plain Апач, знаешь ли, писали не настолько альтернативно-одаренные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #35

32. Сообщение от пох. (?), 21-Ноя-20, 17:22	–2 +/–
Напомните, давно ли была уязвимость в php-fpm? ;-) RCE, afair? Которую еще и отказались исправлять в "нимоднанимодна, все, eol, мы обмазываемся только свеженьким" пятых версиях. А уязвимость в phar - просто объявлена notabug, closed. Времена когда критические уязвимости признавали таковыми - видать да, давно прошли, и не только в php.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #57

33. Сообщение от Аноним (-), 21-Ноя-20, 17:38	+/–
>Друпал еще жив? Я думал еще году в 2010 всё Если ты жив значит и Друпал жив.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (34), 21-Ноя-20, 17:59	+3 +/–
>include('filename.php.txt') ССЗБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

35. Сообщение от Alex_K (??), 21-Ноя-20, 18:08	+2 +/–
Я с вами спорить не буду. В свое время проверял работу и был удивлен результату. Да и документация про множественные расширения допускает это http://httpd.apache.org/docs/2.4/mod/mod_mime.html#multipleext
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #39

36. Сообщение от Dzen Python (ok), 21-Ноя-20, 18:33	–1 +/–
А разве это реально? Починить все плагины после обновления?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #49

38. Сообщение от Аноним (12), 21-Ноя-20, 19:00	+1 +/–
Все нормально будет с addtype. А вот если в регулярке забудешь конечный доллар - получится как раз искомое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #53, #55

39. Сообщение от Аноним (12), 21-Ноя-20, 19:04	+1 +/–
Это уже не addtype, а addhandler. Это, да, минное поле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #50

40. Сообщение от Аноним (12), 21-Ноя-20, 19:10	+/–
И откуда этот include взялся? Либо ты его сам написал, либо в коде есть уязвимость с include injection - и в этом случае закрывать надо именно include injection, а не как индус лечить симптомы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

41. Сообщение от jura12 (ok), 21-Ноя-20, 19:39	+/–
нормально все. обычная практика обновлять движёк. курирую 4 сайта друпал.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #47

42. Сообщение от Какаянахренразница (ok), 21-Ноя-20, 20:14	+4 +/–
> кто кого друпал Я твой дом труба друпал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

43. Сообщение от Dzen Python (ok), 21-Ноя-20, 20:36	+1 +/–
Иэх. Предчувсвую очередную боль у админов старой - работает, не трожь - закалки. Тут же трогать надо, обновлять, тестить...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

44. Сообщение от Аноним (44), 21-Ноя-20, 20:49	+4 +/–
> движёк Это даже не опечатка, т.к. надо потянуться в угол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #70

45. Сообщение от Аноним (45), 21-Ноя-20, 21:04	+1 +/–
Думаешь у них дело дойдет до "тестить"? Свлится - будут исправлять, а пока работает - не трогать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #52

46. Сообщение от Аноним (-), 21-Ноя-20, 21:09	+1 +/–
зачем, одного достаточно, не надо новых спаунить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

47. Сообщение от anoname (?), 21-Ноя-20, 22:35	+/–
Держи нас в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

48. Сообщение от Аноним (48), 21-Ноя-20, 22:45	+1 +/–
А главное что в патче есть переменная whitelist несмотря на то что они первые под педиков прогнулись.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

49. Сообщение от пох. (?), 21-Ноя-20, 23:11	+1 +/–
ну выключил те что не чинятся, и спи теперь до ужина. А чо, варианты как будто есть? ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

50. Сообщение от пох. (?), 21-Ноя-20, 23:14	+/–
Но addhandler используется в реальной жизни примерно никем, а в нереальной - с ооочень редкой экзотикой, причем мертвой уже лет пятнадцать как. Для php уж точно никем и никогда, это какое-то совсем шизофреническое извращение. В любом случае, не вижу как такое можно исправить _друпалом_. Очевидно, что проблема исправляемая внутри друпала - она в друпале, а не в апаче.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #63

51. Сообщение от пох. (?), 21-Ноя-20, 23:16	+/–
Мерзавцы! Как они смеют! Срочно на колени перед неграми, и сосат! Ты уже прислал им гневный pr? Или опять все самому делать надо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #54

52. Сообщение от пох. (?), 21-Ноя-20, 23:17	+/–
Учитывая что речь о друпале - разумеется, свалится. Или отвалятся модули, или развалится самописная глагна. Когда б оно бывало иначе. Так что чего там тестить - сразу можно идти чинить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #58, #69

53. Сообщение от пох. (?), 21-Ноя-20, 23:21	+1 +/–
Угу, как обычно у белок-истеричек. В борьбе за видимость безопасности - как раз и заменяют надежное дубовое решение - дырявым by design.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

54. Сообщение от jura12 (ok), 21-Ноя-20, 23:40	+/–
сделай все сам. встань и с..ни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #61

55. Сообщение от Alex_K (??), 22-Ноя-20, 01:45	+/–
Ну смотря, что считатать нормой. Вот мануал по AddType http://httpd.apache.org/docs/2.4/mod/mod_mime.html#addtype
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

57. Сообщение от YetAnotherOnanym (ok), 22-Ноя-20, 10:58	+2 +/–
Ну, я за пыхом не слежу, но по сравнению с тем, что было, сейчас просто покой и благолепие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

58. Сообщение от InuYasha (??), 22-Ноя-20, 11:32	+/–
Так что же - вротпресс лучше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #65, #67

59. Сообщение от Pilat66 (?), 22-Ноя-20, 14:39	–2 +/–
Да просто друпал продолжают использовать только те, кто вообще не читает рассылки по безопасности. Остальные давно о нём забыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #64

61. Сообщение от пох. (?), 22-Ноя-20, 15:29	–4 +/–
Это тебе придется, самому. У моих предков, к сожалению, никогда не было даже одного чорного раба, не защитается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #66

63. Сообщение от Аноним (63), 22-Ноя-20, 16:55	+/–
Ну, друпал часто ставят на васян-хостинги, настроенные копипастой со stackoverflow, потому я могу понять озабоченность. Но cve это перебор, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

64. Сообщение от гшшг (?), 22-Ноя-20, 17:10	+2 +/–
Перешли на вордпресс наверное? Или если ваше смс никому не нужно, то оно безопаснее?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

65. Сообщение от пох. (?), 22-Ноя-20, 23:56	+1 +/–
На одном стуле - пики точены,а на другом тоже так себе наборчик. В целом не вижу поводов для смены платформы, какая бы из двух она не была.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

66. Сообщение от Аноним (18), 23-Ноя-20, 02:50	+2 +/–
> к сожалению, никогда не было даже одного чорного раба Сочувствую... К соседским ходили с..ть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

67. Сообщение от Аноним (18), 23-Ноя-20, 08:38	+/–
оба в мусорку
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

68. Сообщение от Shoorick (?), 23-Ноя-20, 12:36	+/–
https://w3techs.com/technologies/history_overview/content_ma... — два с половиной процента по состоянию на ноябрь 2020. Вместе с WiX делит четвёртое-пятое место, а если рассматривать только CMS — третье. Полпроцента — это гораздо менее популярный TYPO3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

69. Сообщение от хоп (?), 24-Ноя-20, 11:59	+/–
Не выдумывайте. В данном случае для D7 патч на 440 строк правит три файла, из которых два файла и 330 строк -- это юнит-тесты, а оставшееся -- переименовыватель foo.php.txt в foo.php_.txt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

70. Сообщение от IRASoldier_registered (ok), 25-Ноя-20, 21:07	+/–
Поколение войнов, андройдов и девчёнок, которое не хочет тратить время на "гуманитарщину".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема