forum.opennet.ru - "Критическая уязвимость в системе управления контентом Drupal" (65)

"Критическая уязвимость в системе управления контентом Drupal"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в системе управления контентом Drupal"	+/–
Сообщение от opennews (??), 21-Ноя-20, 10:59
В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2020-13671), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен критический уровень опасности. Проблема устранена в выпусках Drupal... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54127
Ответить \| Правка \| Cообщить модератору

Оглавление

Судя по обилию комментариев, все местные эксперты побежали обновляться , Аноним (1), 10:59 , 21-Ноя-20, (1) +16

А ты еще вчера обновился и молодец , Аноним (8), 11:43 , 21-Ноя-20, (8) –1

У него автообновление, как у всех нормальных пацанов С утра уже починил все 3d-, пох. (?), 13:28 , 21-Ноя-20, (16) +1

А разве это реально Починить все плагины после обновления , Dzen Python (ok), 18:33 , 21-Ноя-20, (36) –1

ну выключил те что не чинятся, и спи теперь до ужина А чо, варианты как будто ес, пох. (?), 23:11 , 21-Ноя-20, (49) +1

Да просто друпал продолжают использовать только те, кто вообще не читает рассылк, Pilat66 (?), 14:39 , 22-Ноя-20, (59) –2

Перешли на вордпресс наверное Или если ваше смс никому не нужно, то оно безопасн, гшшг (?), 17:10 , 22-Ноя-20, (64) +2

Ну бывает, чо Зато нет сишных дыреней, нувыпонели , YetAnotherOnanym (ok), 11:16 , 21-Ноя-20, (2) +14

Дело фрактала живёт Теперь сишные дырени проникают в обсуждения без каких-либо , Ordu (ok), 11:19 , 21-Ноя-20, (3) +12

Это я его кастую Не спугни , YetAnotherOnanym (ok), 11:40 , 21-Ноя-20, (5) +4

зачем, одного достаточно, не надо новых спаунить, Аноним (-), 21:09 , 21-Ноя-20, (46) +1

А PHP на чём написан То-то же , Аноним (4), 11:24 , 21-Ноя-20, (4) +5

Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP н, YetAnotherOnanym (ok), 11:41 , 21-Ноя-20, (6) +1

джо стала неуловимым, Аноним (13), 12:07 , 21-Ноя-20, (13) –2
Напомните, давно ли была уязвимость в php-fpm - RCE, afair Которую еще и отк, пох. (?), 17:22 , 21-Ноя-20, (32) –2

Ну, я за пыхом не слежу, но по сравнению с тем, что было, сейчас просто покой и , YetAnotherOnanym (ok), 10:58 , 22-Ноя-20, (57) +2

Уязвимость так и называется Drupal заражает сервера под управлением Линукс , Аноним (8), 11:42 , 21-Ноя-20, (7) –1

Где в информации говорится о Linux , Аноним (11), 11:59 , 21-Ноя-20, (11) +1

а с чего это вообще уязвимость Где такие _серверные_ конфигурации, которые имя , Аноним (9), 11:53 , 21-Ноя-20, (9) +2

дефолтный конфиг Apache , gogo (?), 13:55 , 21-Ноя-20, (19) +1

Что а файл so txt он, наверно, как модуль подтягивает, Аноним (9), 14:06 , 21-Ноя-20, (21) +5
Разве что у любителей докеров от Васянов , Аноним (23), 14:38 , 21-Ноя-20, (23)

WAMP , Аноним (11), 11:57 , 21-Ноя-20, (10) –3
Белки-истерички какие-то Если вебсервер настроен так, что для файла с именем fil, Аноним (12), 12:05 , 21-Ноя-20, (12) +10

include filename php txt Ну покажи, покажи же нам, не стесняйся да не, этим, пох. (?), 13:38 , 21-Ноя-20, (17) –7

И какое отношение это имеет к проблеме Ну, загрузят filename txt и сделают тако, Аноним (9), 14:00 , 21-Ноя-20, (20)

вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить,, пох. (?), 14:21 , 21-Ноя-20, (22) –1

ССЗБ , Аноним (34), 17:59 , 21-Ноя-20, (34) +3
И откуда этот include взялся Либо ты его сам написал, либо в коде есть уязвимос, Аноним (12), 19:10 , 21-Ноя-20, (40)

Контейнер не мой, я просто его развернул , Аноним (23), 14:40 , 21-Ноя-20, (24) +4

а кто кого друпал так и не рассказали, Аноним (13), 12:08 , 21-Ноя-20, (14) –1

Я твой дом труба друпал, Какаянахренразница (ok), 20:14 , 21-Ноя-20, (42) +4

Никогда такого не было, и вот опять , Аноним (18), 13:53 , 21-Ноя-20, (18)
Drupal для тех, кто не может вручную сайт написать , Аноним (-), 14:59 , 21-Ноя-20, (25) –1

Причём сложность написания своего даже меньше, чем что-то под друпал разрабатыва, Аноним (18), 15:25 , 21-Ноя-20, (26) +4

Дрюпал еще жив Вордпресс почти все завхватил уже, вытеснив остальные ЦМСки , DEF (?), 16:03 , 21-Ноя-20, (27) +6
Кто-то в 2к20 пользуется ещё Друпалом Таких веб-сайтов меньше половины процента, смузихлёб (?), 16:26 , 21-Ноя-20, (28) +6

https w3techs com technologies history_overview content_management 8212 два, Shoorick (?), 12:36 , 23-Ноя-20, (68)

Проблеме подвержены скорее всего конфигурации с AddType application x-httpd-php , Alex_K (??), 16:33 , 21-Ноя-20, (29) +1

Нет, проверь и убедись что с php txt у тебя получится text plainАпач, знаешь ли, пох. (?), 17:19 , 21-Ноя-20, (31) +1

Я с вами спорить не буду В свое время проверял работу и был удивлен результату , Alex_K (??), 18:08 , 21-Ноя-20, (35) +2

Это уже не addtype, а addhandler Это, да, минное поле , Аноним (12), 19:04 , 21-Ноя-20, (39) +1

Но addhandler используется в реальной жизни примерно никем, а в нереальной - с о, пох. (?), 23:14 , 21-Ноя-20, (50)

Ну, друпал часто ставят на васян-хостинги, настроенные копипастой со stackoverfl, Аноним (63), 16:55 , 22-Ноя-20, (63)

Все нормально будет с addtype А вот если в регулярке забудешь конечный доллар - , Аноним (12), 19:00 , 21-Ноя-20, (38) +1

Угу, как обычно у белок-истеричек В борьбе за видимость безопасности - как раз , пох. (?), 23:21 , 21-Ноя-20, (53) +1
Ну смотря, что считатать нормой Вот мануал по AddTypehttp httpd apache org do, Alex_K (??), 01:45 , 22-Ноя-20, (55)

Друпал еще жив Я думал еще году в 2010 всё, Анон1212 (?), 16:49 , 21-Ноя-20, (30) +1

Если ты жив значит и Друпал жив , Аноним (-), 17:38 , 21-Ноя-20, (33)

нормально все обычная практика обновлять движёк курирую 4 сайта друпал , jura12 (ok), 19:39 , 21-Ноя-20, (41)

Это даже не опечатка, т к надо потянуться в угол , Аноним (44), 20:49 , 21-Ноя-20, (44) +4

Поколение войнов, андройдов и девчёнок, которое не хочет тратить время на гуман, IRASoldier_registered (ok), 21:07 , 25-Ноя-20, (70)

Держи нас в курсе , anoname (?), 22:35 , 21-Ноя-20, (47)

Иэх Предчувсвую очередную боль у админов старой - работает, не трожь - закалки , Dzen Python (ok), 20:36 , 21-Ноя-20, (43) +1

Думаешь у них дело дойдет до тестить Свлится - будут исправлять, а пока работ, Аноним (45), 21:04 , 21-Ноя-20, (45) +1

Учитывая что речь о друпале - разумеется, свалится Или отвалятся модули, или ра, пох. (?), 23:17 , 21-Ноя-20, (52)

Так что же - вротпресс лучше , InuYasha (??), 11:32 , 22-Ноя-20, (58)

На одном стуле - пики точены,а на другом тоже так себе наборчик В целом не вижу , пох. (?), 23:56 , 22-Ноя-20, (65) +1
оба в мусорку, Аноним (18), 08:38 , 23-Ноя-20, (67)

Не выдумывайте В данном случае для D7 патч на 440 строк правит три файла, из ко, хоп (?), 11:59 , 24-Ноя-20, (69)

А главное что в патче есть переменная whitelist несмотря на то что они первые по, Аноним (48), 22:45 , 21-Ноя-20, (48) +1

Мерзавцы Как они смеют Срочно на колени перед неграми, и сосат Ты уже прислал , пох. (?), 23:16 , 21-Ноя-20, (51)

сделай все сам встань и с ни , jura12 (ok), 23:40 , 21-Ноя-20, (54)

Это тебе придется, самому У моих предков, к сожалению, никогда не было даже одн, пох. (?), 15:29 , 22-Ноя-20, (61) –4

Сочувствую К соседским ходили с ть , Аноним (18), 02:50 , 23-Ноя-20, (66) +2

Сообщения [Сортировка по времени | RSS]

1. "Критическая уязвимость в системе управления контентом Drupal" +16 +/–

Сообщение от Аноним (1), 21-Ноя-20, 10:59

Судя по обилию комментариев, все местные эксперты побежали обновляться.

Ответить | Правка | Наверх | Cообщить модератору

8. "Критическая уязвимость в системе управления контентом Drupal" –1 +/–

Сообщение от Аноним (8), 21-Ноя-20, 11:43

А ты еще вчера обновился и молодец?

Ответить | Правка | Наверх | Cообщить модератору

16. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от пох. (?), 21-Ноя-20, 13:28

У него автообновление, как у всех нормальных пацанов. С утра уже починил все 3d-party плагины которые оно поломало, и спит себе до обеда.

Ответить | Правка | Наверх | Cообщить модератору

36. "Критическая уязвимость в системе управления контентом Drupal" –1 +/–

Сообщение от Dzen Python (ok), 21-Ноя-20, 18:33

А разве это реально? Починить все плагины после обновления?

Ответить | Правка | Наверх | Cообщить модератору

49. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от пох. (?), 21-Ноя-20, 23:11

ну выключил те что не чинятся, и спи теперь до ужина.
А чо, варианты как будто есть? ;-)

Ответить | Правка | Наверх | Cообщить модератору

59. "Критическая уязвимость в системе управления контентом Drupal" –2 +/–

Сообщение от Pilat66 (?), 22-Ноя-20, 14:39

Да просто друпал продолжают использовать только те, кто вообще не читает рассылки по безопасности. Остальные давно о нём забыли.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

64. "Критическая уязвимость в системе управления контентом Drupal" +2 +/–

Сообщение от гшшг (?), 22-Ноя-20, 17:10

Перешли на вордпресс наверное?
Или если ваше смс никому не нужно, то оно безопаснее?

Ответить | Правка | Наверх | Cообщить модератору

2. "Критическая уязвимость в системе управления контентом Drupal" +14 +/–

Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:16

Ну... бывает, чо. Зато нет сишных дыреней, нувыпонели.

Ответить | Правка | Наверх | Cообщить модератору

3. "Критическая уязвимость в системе управления контентом Drupal" +12 +/–

Сообщение от Ordu (ok), 21-Ноя-20, 11:19

Дело фрактала живёт. Теперь сишные дырени проникают в обсуждения без каких-либо усилий с его стороны.

Ответить | Правка | Наверх | Cообщить модератору

5. "Критическая уязвимость в системе управления контентом Drupal" +4 +/–

Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:40

Это я его кастую. Не спугни.

Ответить | Правка | Наверх | Cообщить модератору

46. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Аноним (-), 21-Ноя-20, 21:09

зачем, одного достаточно, не надо новых спаунить

Ответить | Правка | Наверх | Cообщить модератору

4. "Критическая уязвимость в системе управления контентом Drupal" +5 +/–

Сообщение от Аноним (4), 21-Ноя-20, 11:24

А PHP на чём написан? То-то же!

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:41

Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP находили критические уязвимости едва ли не каждый день, остались в прошлом.

Ответить | Правка | Наверх | Cообщить модератору

13. "Критическая уязвимость в системе управления контентом Drupal" –2 +/–

Сообщение от Аноним (13), 21-Ноя-20, 12:07

джо стала неуловимым

Ответить | Правка | Наверх | Cообщить модератору

32. "Критическая уязвимость в системе управления контентом Drupal" –2 +/–

Сообщение от пох. (?), 21-Ноя-20, 17:22

Напомните, давно ли была уязвимость в php-fpm? ;-) RCE, afair?
Которую еще и отказались исправлять в "нимоднанимодна, все, eol, мы обмазываемся только свеженьким" пятых версиях.
А уязвимость в phar - просто объявлена notabug, closed. Времена когда критические уязвимости признавали таковыми - видать да, давно прошли, и не только в php.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

57. "Критическая уязвимость в системе управления контентом Drupal" +2 +/–

Сообщение от YetAnotherOnanym (ok), 22-Ноя-20, 10:58

Ну, я за пыхом не слежу, но по сравнению с тем, что было, сейчас просто покой и благолепие.

Ответить | Правка | Наверх | Cообщить модератору

7. "Критическая уязвимость в системе управления контентом Drupal" –1 +/–

Сообщение от Аноним (8), 21-Ноя-20, 11:42

Уязвимость так и называется Drupal заражает сервера под управлением Линукс.

Ответить | Правка | Наверх | Cообщить модератору

11. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Аноним (11), 21-Ноя-20, 11:59

Где в информации говорится о Linux?

Ответить | Правка | Наверх | Cообщить модератору

9. "Критическая уязвимость в системе управления контентом Drupal" +2 +/–

Сообщение от Аноним (9), 21-Ноя-20, 11:53

> позволяет загрузить файл вида filename.php.txt, который в определённых серверных конфигурациях при обращении будет выполнен как PHP-код
а с чего это вообще уязвимость? Где такие _серверные_ конфигурации, которые имя файла режут и исполняют?

Ответить | Правка | Наверх | Cообщить модератору

19. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от gogo (?), 21-Ноя-20, 13:55

дефолтный конфиг Apache?

Ответить | Правка | Наверх | Cообщить модератору

21. "Критическая уязвимость в системе управления контентом Drupal" +5 +/–

Сообщение от Аноним (9), 21-Ноя-20, 14:06

Что?
а файл so.txt он, наверно, как модуль подтягивает

Ответить | Правка | Наверх | Cообщить модератору

23. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Аноним (23), 21-Ноя-20, 14:38

Разве что у любителей докеров от Васянов.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

10. "Критическая уязвимость в системе управления контентом Drupal" –3 +/–

Сообщение от Аноним (11), 21-Ноя-20, 11:57

WAMP?

Ответить | Правка | Наверх | Cообщить модератору

12. "Критическая уязвимость в системе управления контентом Drupal" +10 +/–

Сообщение от Аноним (12), 21-Ноя-20, 12:05

Белки-истерички какие-то.
Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php, это исключительно проблема места произрастания рук администратора этого сервера.
Друпал, как и любой другой скрипт для аплоада, к этому отношение имеет нулевое.
А тут аж cve, да ещё и critical.

Ответить | Правка | Наверх | Cообщить модератору

17. "Критическая уязвимость в системе управления контентом Drupal" –7 +/–

Сообщение от пох. (?), 21-Ноя-20, 13:38

> Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php
include('filename.php.txt')
Ну покажи, покажи же нам, не стесняйся... да не, этим сморчком ты кого хотел удивить, спрячь обратно, не позорься, тут у всех длиннее, покажи нам свой чудо-сервер, настроенный так что такое не запустится.
"другой скрипт для аплоада", внезапно, не исполняет как код то что сам же зааплоадил. (Если,конечно, файл не называется phar://чтотатам - но тут скрипт не виноват) А вот дрюпал - могет.
> А тут аж cve, да ещё и critical.
и без малейших деталей. Что как бе намекает, что дело не в настройках сервера (если только не в таких, которые делают все загруженные файлы недоступными для php пока админ не подтвердит вручную - как оно ДОЛЖНО быть блжад, но никогда не будет до конца юги.)

Ответить | Правка | Наверх | Cообщить модератору

20. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Аноним (9), 21-Ноя-20, 14:00

> include('filename.php.txt')
И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include
Только проблема будет не в загруженном, а в файле с инклудом.

Ответить | Правка | Наверх | Cообщить модератору

22. "Критическая уязвимость в системе управления контентом Drupal" –1 +/–

Сообщение от пох. (?), 21-Ноя-20, 14:21

> И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include
вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить, а txt не будут исполнять. Но в regex забыли $ после php, поэтому вышла такая фигня.
> Только проблема будет не в загруженном, а в файле с инклудом.
Так это весь дрюпал и есть.

Ответить | Правка | Наверх | Cообщить модератору

34. "Критическая уязвимость в системе управления контентом Drupal" +3 +/–

Сообщение от Аноним (34), 21-Ноя-20, 17:59

>include('filename.php.txt')
ССЗБ.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

40. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Аноним (12), 21-Ноя-20, 19:10

И откуда этот include взялся? Либо ты его сам написал, либо в коде есть уязвимость с include injection - и в этом случае закрывать надо именно include injection, а не как индус лечить симптомы.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

24. "Критическая уязвимость в системе управления контентом Drupal" +4 +/–

Сообщение от Аноним (23), 21-Ноя-20, 14:40

"Контейнер не мой, я просто его развернул"

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

14. "Критическая уязвимость в системе управления контентом Drupal" –1 +/–

Сообщение от Аноним (13), 21-Ноя-20, 12:08

а кто кого друпал так и не рассказали

Ответить | Правка | Наверх | Cообщить модератору

42. "Критическая уязвимость в системе управления контентом Drupal" +4 +/–

Сообщение от Какаянахренразница (ok), 21-Ноя-20, 20:14

> кто кого друпал
Я твой дом труба друпал

Ответить | Правка | Наверх | Cообщить модератору

18. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Аноним (18), 21-Ноя-20, 13:53

Никогда такого не было, и вот опять...

Ответить | Правка | Наверх | Cообщить модератору

25. "Критическая уязвимость в системе управления контентом Drupal" –1 +/–

Сообщение от Аноним (-), 21-Ноя-20, 14:59

Drupal для тех, кто не может вручную сайт написать.

Ответить | Правка | Наверх | Cообщить модератору

26. "Критическая уязвимость в системе управления контентом Drupal" +4 +/–

Сообщение от Аноним (18), 21-Ноя-20, 15:25

Причём сложность написания своего даже меньше, чем что-то под друпал разрабатывать.

Ответить | Правка | Наверх | Cообщить модератору

27. "Критическая уязвимость в системе управления контентом Drupal" +6 +/–

Сообщение от DEF (?), 21-Ноя-20, 16:03

Дрюпал еще жив? Вордпресс почти все завхватил уже, вытеснив остальные ЦМСки.

Ответить | Правка | Наверх | Cообщить модератору

28. "Критическая уязвимость в системе управления контентом Drupal" +6 +/–

Сообщение от смузихлёб (?), 21-Ноя-20, 16:26

Кто-то в 2к20 пользуется ещё Друпалом? Таких веб-сайтов меньше половины процента наверное.

Ответить | Правка | Наверх | Cообщить модератору

68. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Shoorick (?), 23-Ноя-20, 12:36

https://w3techs.com/technologies/history_overview/content_ma... — два с половиной процента по состоянию на ноябрь 2020. Вместе с WiX делит четвёртое-пятое место, а если рассматривать только CMS — третье. Полпроцента — это гораздо менее популярный TYPO3.

Ответить | Правка | Наверх | Cообщить модератору

29. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Alex_K (??), 21-Ноя-20, 16:33

Проблеме подвержены скорее всего конфигурации с
AddType application/x-httpd-php .php
Наиболее же безопасным является
<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>

Ответить | Правка | Наверх | Cообщить модератору

31. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от пох. (?), 21-Ноя-20, 17:19

Нет, проверь и убедись что с .php.txt у тебя получится text/plain
Апач, знаешь ли, писали не настолько альтернативно-одаренные.

Ответить | Правка | Наверх | Cообщить модератору

35. "Критическая уязвимость в системе управления контентом Drupal" +2 +/–

Сообщение от Alex_K (??), 21-Ноя-20, 18:08

Я с вами спорить не буду. В свое время проверял работу и был удивлен результату.
Да и документация про множественные расширения допускает это
http://httpd.apache.org/docs/2.4/mod/mod_mime.html#multipleext

Ответить | Правка | Наверх | Cообщить модератору

39. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Аноним (12), 21-Ноя-20, 19:04

Это уже не addtype, а addhandler. Это, да, минное поле.

Ответить | Правка | Наверх | Cообщить модератору

50. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от пох. (?), 21-Ноя-20, 23:14

Но addhandler используется в реальной жизни примерно никем, а в нереальной - с ооочень редкой экзотикой, причем мертвой уже лет пятнадцать как.
Для php уж точно никем и никогда, это какое-то совсем шизофреническое извращение.
В любом случае, не вижу как такое можно исправить _друпалом_. Очевидно, что проблема исправляемая внутри друпала - она в друпале, а не в апаче.

Ответить | Правка | Наверх | Cообщить модератору

63. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Аноним (63), 22-Ноя-20, 16:55

Ну, друпал часто ставят на васян-хостинги, настроенные копипастой со stackoverflow, потому я могу понять озабоченность.
Но cve это перебор, да.

Ответить | Правка | Наверх | Cообщить модератору

38. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Аноним (12), 21-Ноя-20, 19:00

Все нормально будет с addtype.
А вот если в регулярке забудешь конечный доллар - получится как раз искомое.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

53. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от пох. (?), 21-Ноя-20, 23:21

Угу, как обычно у белок-истеричек. В борьбе за видимость безопасности - как раз и заменяют надежное дубовое решение - дырявым by design.

Ответить | Правка | Наверх | Cообщить модератору

55. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Alex_K (??), 22-Ноя-20, 01:45

Ну смотря, что считатать нормой. Вот мануал по AddType
http://httpd.apache.org/docs/2.4/mod/mod_mime.html#addtype

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

30. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Анон1212 (?), 21-Ноя-20, 16:49

Друпал еще жив? Я думал еще году в 2010 всё

Ответить | Правка | Наверх | Cообщить модератору

33. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Аноним (-), 21-Ноя-20, 17:38

>Друпал еще жив? Я думал еще году в 2010 всё
Если ты жив значит и Друпал жив.

Ответить | Правка | Наверх | Cообщить модератору

41. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от jura12 (ok), 21-Ноя-20, 19:39

нормально все. обычная практика обновлять движёк. курирую 4 сайта друпал.

Ответить | Правка | Наверх | Cообщить модератору

44. "Критическая уязвимость в системе управления контентом Drupal" +4 +/–

Сообщение от Аноним (44), 21-Ноя-20, 20:49

> движёк
Это даже не опечатка, т.к. надо потянуться в угол.

Ответить | Правка | Наверх | Cообщить модератору

70. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от IRASoldier_registered (ok), 25-Ноя-20, 21:07

Поколение войнов, андройдов и девчёнок, которое не хочет тратить время на "гуманитарщину".

Ответить | Правка | Наверх | Cообщить модератору

47. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от anoname (?), 21-Ноя-20, 22:35

Держи нас в курсе.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

43. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Dzen Python (ok), 21-Ноя-20, 20:36

Иэх. Предчувсвую очередную боль у админов старой - работает, не трожь - закалки. Тут же трогать надо, обновлять, тестить...

Ответить | Правка | Наверх | Cообщить модератору

45. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Аноним (45), 21-Ноя-20, 21:04

Думаешь у них дело дойдет до "тестить"? Свлится - будут исправлять, а пока работает - не трогать!

Ответить | Правка | Наверх | Cообщить модератору

52. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от пох. (?), 21-Ноя-20, 23:17

Учитывая что речь о друпале - разумеется, свалится. Или отвалятся модули, или развалится самописная глагна. Когда б оно бывало иначе. Так что чего там тестить - сразу можно идти чинить.

Ответить | Правка | Наверх | Cообщить модератору

58. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от InuYasha (??), 22-Ноя-20, 11:32

Так что же - вротпресс лучше?

Ответить | Правка | Наверх | Cообщить модератору

65. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от пох. (?), 22-Ноя-20, 23:56

На одном стуле - пики точены,а на другом тоже так себе наборчик.
В целом не вижу поводов для смены платформы, какая бы из двух она не была.

Ответить | Правка | Наверх | Cообщить модератору

67. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от Аноним (18), 23-Ноя-20, 08:38

оба в мусорку

Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

69. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от хоп (?), 24-Ноя-20, 11:59

Не выдумывайте. В данном случае для D7 патч на 440 строк правит три файла, из которых два файла и 330 строк -- это юнит-тесты, а оставшееся -- переименовыватель foo.php.txt в foo.php_.txt

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

48. "Критическая уязвимость в системе управления контентом Drupal" +1 +/–

Сообщение от Аноним (48), 21-Ноя-20, 22:45

А главное что в патче есть переменная whitelist несмотря на то что они первые под педиков прогнулись.

Ответить | Правка | Наверх | Cообщить модератору

51. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от пох. (?), 21-Ноя-20, 23:16

Мерзавцы! Как они смеют! Срочно на колени перед неграми, и сосат!
Ты уже прислал им гневный pr? Или опять все самому делать надо?

Ответить | Правка | Наверх | Cообщить модератору

54. "Критическая уязвимость в системе управления контентом Drupal" +/–

Сообщение от jura12 (ok), 21-Ноя-20, 23:40

сделай все сам. встань и с..ни.

Ответить | Правка | Наверх | Cообщить модератору

61. "Критическая уязвимость в системе управления контентом Drupal" –4 +/–

Сообщение от пох. (?), 22-Ноя-20, 15:29

Это тебе придется, самому. У моих предков, к сожалению, никогда не было даже одного чорного раба, не защитается.

Ответить | Правка | Наверх | Cообщить модератору

66. "Критическая уязвимость в системе управления контентом Drupal" +2 +/–

Сообщение от Аноним (18), 23-Ноя-20, 02:50

> к сожалению, никогда не было даже одного чорного раба
Сочувствую... К соседским ходили с..ть?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Критическая уязвимость в системе управления контентом Drupal"	+16 +/–
Сообщение от Аноним (1), 21-Ноя-20, 10:59
Судя по обилию комментариев, все местные эксперты побежали обновляться.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Критическая уязвимость в системе управления контентом Drupal"	–1 +/–
	Сообщение от Аноним (8), 21-Ноя-20, 11:43
	А ты еще вчера обновился и молодец?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Критическая уязвимость в системе управления контентом Drupal"	+1 +/–
	Сообщение от пох. (?), 21-Ноя-20, 13:28
	У него автообновление, как у всех нормальных пацанов. С утра уже починил все 3d-party плагины которые оно поломало, и спит себе до обеда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Критическая уязвимость в системе управления контентом Drupal"	–1 +/–
	Сообщение от Dzen Python (ok), 21-Ноя-20, 18:33
	А разве это реально? Починить все плагины после обновления?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Критическая уязвимость в системе управления контентом Drupal"	+1 +/–
	Сообщение от пох. (?), 21-Ноя-20, 23:11
	ну выключил те что не чинятся, и спи теперь до ужина. А чо, варианты как будто есть? ;-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Критическая уязвимость в системе управления контентом Drupal"	–2 +/–
	Сообщение от Pilat66 (?), 22-Ноя-20, 14:39
	Да просто друпал продолжают использовать только те, кто вообще не читает рассылки по безопасности. Остальные давно о нём забыли.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	64. "Критическая уязвимость в системе управления контентом Drupal"	+2 +/–
	Сообщение от гшшг (?), 22-Ноя-20, 17:10
	Перешли на вордпресс наверное? Или если ваше смс никому не нужно, то оно безопаснее?
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Критическая уязвимость в системе управления контентом Drupal"	+14 +/–
Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:16
Ну... бывает, чо. Зато нет сишных дыреней, нувыпонели.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Критическая уязвимость в системе управления контентом Drupal"	+12 +/–
	Сообщение от Ordu (ok), 21-Ноя-20, 11:19
	Дело фрактала живёт. Теперь сишные дырени проникают в обсуждения без каких-либо усилий с его стороны.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Критическая уязвимость в системе управления контентом Drupal"	+4 +/–
	Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:40
	Это я его кастую. Не спугни.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Критическая уязвимость в системе управления контентом Drupal"	+1 +/–
	Сообщение от Аноним (-), 21-Ноя-20, 21:09
	зачем, одного достаточно, не надо новых спаунить
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Критическая уязвимость в системе управления контентом Drupal"	+5 +/–
	Сообщение от Аноним (4), 21-Ноя-20, 11:24
	А PHP на чём написан? То-то же!
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	6. "Критическая уязвимость в системе управления контентом Drupal"	+1 +/–
	Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:41
	Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP находили критические уязвимости едва ли не каждый день, остались в прошлом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Критическая уязвимость в системе управления контентом Drupal"	–2 +/–
	Сообщение от Аноним (13), 21-Ноя-20, 12:07
	джо стала неуловимым
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Критическая уязвимость в системе управления контентом Drupal"	–2 +/–
	Сообщение от пох. (?), 21-Ноя-20, 17:22
	Напомните, давно ли была уязвимость в php-fpm? ;-) RCE, afair? Которую еще и отказались исправлять в "нимоднанимодна, все, eol, мы обмазываемся только свеженьким" пятых версиях. А уязвимость в phar - просто объявлена notabug, closed. Времена когда критические уязвимости признавали таковыми - видать да, давно прошли, и не только в php.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	57. "Критическая уязвимость в системе управления контентом Drupal"	+2 +/–
	Сообщение от YetAnotherOnanym (ok), 22-Ноя-20, 10:58
	Ну, я за пыхом не слежу, но по сравнению с тем, что было, сейчас просто покой и благолепие.
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Критическая уязвимость в системе управления контентом Drupal"	–1 +/–
Сообщение от Аноним (8), 21-Ноя-20, 11:42
Уязвимость так и называется Drupal заражает сервера под управлением Линукс.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Критическая уязвимость в системе управления контентом Drupal"	+1 +/–
	Сообщение от Аноним (11), 21-Ноя-20, 11:59
	Где в информации говорится о Linux?
	Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Критическая уязвимость в системе управления контентом Drupal"	+2 +/–
Сообщение от Аноним (9), 21-Ноя-20, 11:53
> позволяет загрузить файл вида filename.php.txt, который в определённых серверных конфигурациях при обращении будет выполнен как PHP-код а с чего это вообще уязвимость? Где такие _серверные_ конфигурации, которые имя файла режут и исполняют?
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Критическая уязвимость в системе управления контентом Drupal"	+1 +/–
	Сообщение от gogo (?), 21-Ноя-20, 13:55
	дефолтный конфиг Apache?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Критическая уязвимость в системе управления контентом Drupal"	+5 +/–
	Сообщение от Аноним (9), 21-Ноя-20, 14:06
	Что? а файл so.txt он, наверно, как модуль подтягивает
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Критическая уязвимость в системе управления контентом Drupal"	+/–
	Сообщение от Аноним (23), 21-Ноя-20, 14:38
	Разве что у любителей докеров от Васянов.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору

10. "Критическая уязвимость в системе управления контентом Drupal"	–3 +/–
Сообщение от Аноним (11), 21-Ноя-20, 11:57
WAMP?
Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Критическая уязвимость в системе управления контентом Drupal"	+10 +/–
Сообщение от Аноним (12), 21-Ноя-20, 12:05
Белки-истерички какие-то. Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php, это исключительно проблема места произрастания рук администратора этого сервера. Друпал, как и любой другой скрипт для аплоада, к этому отношение имеет нулевое. А тут аж cve, да ещё и critical.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Критическая уязвимость в системе управления контентом Drupal"	–7 +/–
	Сообщение от пох. (?), 21-Ноя-20, 13:38
	> Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php include('filename.php.txt') Ну покажи, покажи же нам, не стесняйся... да не, этим сморчком ты кого хотел удивить, спрячь обратно, не позорься, тут у всех длиннее, покажи нам свой чудо-сервер, настроенный так что такое не запустится. "другой скрипт для аплоада", внезапно, не исполняет как код то что сам же зааплоадил. (Если,конечно, файл не называется phar://чтотатам - но тут скрипт не виноват) А вот дрюпал - могет. > А тут аж cve, да ещё и critical. и без малейших деталей. Что как бе намекает, что дело не в настройках сервера (если только не в таких, которые делают все загруженные файлы недоступными для php пока админ не подтвердит вручную - как оно ДОЛЖНО быть блжад, но никогда не будет до конца юги.)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Критическая уязвимость в системе управления контентом Drupal"	+/–
	Сообщение от Аноним (9), 21-Ноя-20, 14:00
	> include('filename.php.txt') И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include Только проблема будет не в загруженном, а в файле с инклудом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Критическая уязвимость в системе управления контентом Drupal"	–1 +/–
	Сообщение от пох. (?), 21-Ноя-20, 14:21
	> И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить, а txt не будут исполнять. Но в regex забыли $ после php, поэтому вышла такая фигня. > Только проблема будет не в загруженном, а в файле с инклудом. Так это весь дрюпал и есть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Критическая уязвимость в системе управления контентом Drupal"	+3 +/–
	Сообщение от Аноним (34), 21-Ноя-20, 17:59
	>include('filename.php.txt') ССЗБ.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	40. "Критическая уязвимость в системе управления контентом Drupal"	+/–
	Сообщение от Аноним (12), 21-Ноя-20, 19:10
	И откуда этот include взялся? Либо ты его сам написал, либо в коде есть уязвимость с include injection - и в этом случае закрывать надо именно include injection, а не как индус лечить симптомы.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	24. "Критическая уязвимость в системе управления контентом Drupal"	+4 +/–
	Сообщение от Аноним (23), 21-Ноя-20, 14:40
	"Контейнер не мой, я просто его развернул"
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору