The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В системе управления web-контентом Drupal устранена критическая уязвимость

26.02.2016 08:43

В корректирующих выпусках системы управления web-контентом Drupal 8.0.4, 7.43 и 6.38 устранена серия из 10 уязвимостей, одна из которых помечена как критическая и требует незамедлительной установки обновления. Проблема проявляется в Drupal 6 и позволяет обойти правила доступа и добавить произвольный контент на страницу, например, разместить свой код JavaScript. Для эксплуатации уязвимости у атакующего должен быть доступ к web-форме отправки данных, в которой присутствуют кнопки с расширенными функциями, доступными только администратору (универсальные формы, доступ к которым имеют как обычные пользователи, так и администраторы). Несмотря на то, что предназначенные для администратора кнопки скрываются, их можно использовать при указании в отправляемом запросе.

  1. Главная ссылка к новости (https://www.drupal.org/drupal-...)
  2. OpenNews: Увидела свет система управления web-контентом Drupal 8
  3. OpenNews: Критическая уязвимость в Drupal
  4. OpenNews: Все сайты на базе Drupal 7, сразу не установившие обновление 7.32, следует считать взломанными
  5. OpenNews: Критическая уязвимость в системе управления web-контентом Drupal
  6. OpenNews: Drupal.org подвергся взлому, база пользователей скомпрометирована
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43946-drupal
Ключевые слова: drupal
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, vn971 (ok), 00:11, 27/02/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Спасибо за новость.

    Серверов с друпалом по счастью у меня нет, поэтому посмеяться можно от души:

    > Несмотря на то, что предназначенные для администратора кнопки скрываются, их можно использовать при указании в отправляемом запросе.

     
     
  • 2.2, Disaron (??), 10:53, 27/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да чего смеяться, просто популярность чуть подросла и на drupal обратили внимание. Все будет хорошо. Сейчас первая волна дыр, которые более популярные CMS уже пережили пофиксятся и все будет как у всех.
     
     
  • 3.3, vn971 (ok), 11:05, 27/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, ну такой подход называется халтурностью.

    "Фиксить скьюрити-баги по мере обнаружения". Для "фич" да, так и надо - добавляем по мере надобности. Но каждый секьюрити-баг я считаю хотя бы маленьким, но фак-апом. Тут популярность и волны ни при чём. По крайней мере, таково моё мнение.

     
     
  • 4.4, Disaron (??), 12:03, 27/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет, ну такой подход называется халтурностью.

    В данном конкретном случае, который выражается в отсутствии контроля прав на стороне сервера - возразить нечего. Такие вещи должны делаться раньше контроля на стороне клиента (в данном случае выражающемся в тупом скрытии контролов).

    А вот в остальных случаях (если пройти по ссылке) не соглашусь. Да и вообще как пофиксить проблему, если не знаешь о проблеме? А количество выявляемых уязвимостей пропорционально популярности. Ну никому не интересно копаться в движке, если его всего 5% от рынка бесплатных, а во всем остальном рынке и того меньше. Профит минимален, а то и вообще в минус - времени затратишь больше на поиск дыры, чем получишь эффекта от ее использования.

    Доставило: Saving user accounts can sometimes grant the user all roles (User module - Drupal 6 and 7 - Less Critical)

    Т.е. возможность получения полного набора полномочий это less critical?


     
     
  • 5.8, Aleks Revo (ok), 02:21, 29/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > как пофиксить проблему, если не знаешь о проблеме?

    Моделировать варианты входных данных и исполнения алгоритма. Взломщик занимается ровно тем же самым.

     
     
  • 6.10, Disaron (ok), 07:46, 02/03/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще, представляешь последствия этого?

    1. У программ появится алгоритм
    2. Код станет гораздо более простым и понятным
    3. Большая часть дыр уровня детского сада просто перестанет существовать как класс
    4. Резко упадет потребность в рефакторинге и временные затраты на латание косяков
    5. На улице окажется МОРЕ быдлокодеров
    6. Социальная неудовлетворенность последних, митинги, нападения на людей...

    дальше не буду продолжать... )

     
  • 4.7, _ (??), 17:07, 27/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Нет, ну такой подход называется халтурностью.

    "А кто без греха, тот пусть первый кинет в меня камень!" - умный сказал чел, даже святой :)
    А ещё - "Если бы строители строили дома с таким же качеством, как программисты создают программы ... первый же залетевший дятел уничтожил бы цивилизацию!" :)

    >"Фиксить скьюрити-баги по мере обнаружения".

    А что - уже придумали хоть какой то другой метод?

    >Для "фич" да, так и надо - добавляем по мере надобности.

    Довожу месячный план для группы разработки:
    Пофиксить секурити-багов:
    - критических: 32.5
    - не критических: 100500

    Самому не смешно? Впрочем ты у нас сурьёзный ребёнок, стратег будущий (у мамки).

    >Но каждый секьюрити-баг я считаю хотя бы маленьким, но фак-апом.

    И что?
    >Тут популярность и волны ни при чём. По крайней мере, таково моё мнение.

    Мнение доставило, пишы ищо :-/

     
     
  • 5.9, Aleks Revo (ok), 02:28, 29/02/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Нет, ну такой подход называется халтурностью.
    > "А кто без греха, тот пусть первый кинет в меня камень!" -
    > умный сказал чел, даже святой :)

    Умный человек знал, что тот, кто признает себя безгрешным - пойдёт против центральной религиозной догмы и тем самым напросится на то, чтоб самого закидали камнями. У нас же всё проще, по шее надают без оглядки на догматы )))

    > А ещё - "Если бы строители строили дома с таким же качеством,
    > как программисты создают программы ... первый же залетевший дятел уничтожил бы
    > цивилизацию!" :)
    >>"Фиксить скьюрити-баги по мере обнаружения".
    > А что - уже придумали хоть какой то другой метод?

    Да, баги давно поклассифицированы, и по сути являются типовыми.

    > Мнение доставило, пишы ищо :-/

    Хотя, чего это я тут с бисером перед вечно голодным?

     
     
  • 6.11, Michael Shigorin (ok), 06:46, 03/05/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Умный человек знал, что тот, кто признает себя безгрешным - пойдёт против
    > центральной религиозной догмы

    Почему бы тогда "Они же, услышав то и будучи обличаемы совестью, стали уходить один за другим, начиная от старших до последних"?

    PS: прошу прощения, совсем случайно наткнулся, но промолчать не могу.

     
  • 2.5, adnu (?), 13:51, 27/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    типичное php, хотя drush up по крону не заставляет парится
     
     
  • 3.6, Disaron (ok), 14:00, 27/02/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Автоапдейт? В продакшене? Без тестирования своих расширений на B/C?

    Не, ну если перед этим делается бекап, и ресурс не активно используется, то в редких случаях прокатит...

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру