CrazyRad17 окт 2014 в 10:39

Очередная критическая уязвимость в Drupal 7

1 мин

21K

Информационная безопасность * Drupal *

+15

Комментарии 14

CrazyRad 17 окт 2014 в 14:12

Обновил информацию про эксплоиты.

demimurych 17 окт 2014 в 15:12

>которой подвержены все версии.

только 7-ой ветки.

CrazyRad 17 окт 2014 в 15:13

Согласен, неудачно переформулировал. Добавил.

Razunter 17 окт 2014 в 17:38

Не только, Drupal 8 тоже был подвержен.

CrazyRad 17 окт 2014 в 17:46

Откуда такая информация? Судя по commit-ам в 8 ветке ничего не исправлялось.

Razunter 17 окт 2014 в 17:47

Drupal 8 beta 2

CrazyRad 17 окт 2014 в 18:09

Добавил.

servekon 17 окт 2014 в 15:18

Дьявол кроется в деталях.
Код

foreach($values...)

заменили на

foreach(array_values($values)...)

У меня это еще совпало с тем, что 16.10.2014 у dh.it-patrol.ru на сервере Shiva были аппаратные проблемы(может, кстати связанные с этой уязвимостью), благо ssh и ftp работали.

CrazyRad 17 окт 2014 в 15:53

Добавил про давно висевшую в багтрекере друпала уязвимость.

SparkLone 17 окт 2014 в 19:18

Спасибо за информацию, проверил — буквально пару часов назад чей то бот видимо автоматом внес инфекцию, php бекдор спрятанный в modules — увидел сразу, а вот изменения в базе (menu_router) сразу то и не приметил, так что имейте ввиду.
А багу мне этот бот сам прикрыл, заботливый попался.

itdef 17 окт 2014 в 20:04

Запасливый бизнес мен.

SparkLone 17 окт 2014 в 20:56

В этом году на фоне хартблидов и прочих шеллшоков продавцы лома скорее всего заработают себе на счастливую старость.

zhylik 18 окт 2014 в 07:48

можете поподробней расписать что с menu_router?

zhylik 18 окт 2014 в 07:58

Нашел blog.sucuri.net/2014/10/drupal-sql-injection-attempts-in-the-wild.html вставляют новый путь меню

Зарегистрируйтесь на Хабре, чтобы оставить комментарий