The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости

22.06.2017 23:15

В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 устранены три уязвимости. Одной из проблем (CVE-2017-6920) присвоен наивысший уровень опасности - ошибка в обработчике сериализации объектов в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера.

Вторая уязвимость (CVE-2017-6921) присутствует в коде проверки REST-параметров, через которые осуществляется обработка файлов. На сайтах, на которых включен модуль rest (RESTful Web Services), активирован REST-ресурс file и разрешены запросы PATCH, атакующий может получить или зарегистрировать учётную запись пользователя с правами загрузки файлов и изменения ресурса file.

Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.

  1. Главная ссылка к новости (https://www.drupal.org/SA-CORE...)
  2. OpenNews: В системе управления web-контентом Drupal устранена критическая уязвимость
  3. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  4. OpenNews: Критические уязвимости в системе управления web-контентом Drupal 8
  5. OpenNews: Критическая уязвимость в системе управления web-контентом Drupal
  6. OpenNews: Причиной утечки панамских документов могли быть уязвимые версии WordPress и Drupal
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46749-drupal
Ключевые слова: drupal
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (2) RSS
  • 3, Аноним (-), 14:46, 23/06/2017 [ответить]  
  • +4 +/
    > Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.

    Что нарушает анонимность анонимных пользователей со стороны других анонимных пользователей.

     
  • 4, YetAnotherOnanym (ok), 16:47, 23/06/2017 [ответить]  
  • +1 +/
    > позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями

    Вот так выпускник трёхнедельных курсов уеб-дизайна Вася наградил каждого заказчика анонимной файлопомойкой, даже не догадываясь об этом.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру