Критическая уязвимость в ядре Drupal версий 6, 7 и 8

    www.drupal.org/SA-CORE-2018-002

    Ещё неделю назад Drupal Security Team анонсировала на 28 марта серьёзный фикс, закрывающий критический баг в безопасности, актуальный для всех версий Drupal 6.x, 7.x и 8.x. Баг позволяет злоумышленнику получить доступ к серверу хостинга с правами веб-сервера. Известного публичного эксплойта, использующего данную уязвимость, пока нет, но скорее всего появится в самое ближайшее время, поэтому всем счастливым владельцам сайтов на Drupal или поддерживающим таковые строго рекомендуется установить обновление как можно скорее.

    Сайтам, работающим на версиях 7.x и 8.x, повезло: им просто нужно установить обновление ядра до последней версии, или, если это по каким-то причинам невозможно, накатить на ядро патч, ссылки на соответствующие патчи и версии есть в информационном листке Drupal Security Team.

    Владельцам сайтов на неподдерживаемой в настоящий момент 6-й версии повезло меньше, готовой сборки для них нет, но есть патч в проекте Drupal 6 Long Term Support, скачать его можно тут.

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 10

      0

      Обалдеть просто!


      Это что же там происходит с ключами, начинающимися с #? eval? call_user_func? И сколько же там таких мест, что вместо нормального исправления приходится делать глобальный sanitize по белым спискам?

      –1
      Дырявое корыто!
        0
        D8 — сплошное разочарование.
          0

          Что-то похоже перестраховались друпальщики, PoC так и нет https://greysec.net/showthread.php?tid=2912&page=4

            0
            Видимо если дыра и есть, то в очень нетривиальном месте. Коду больше 10 лет, сотни человек его постоянно разрабатывают и десятки тысяч активно используют, а обнаружили только сейчас.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое