The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

28.03.2018 23:33  Критическая уязвимость в Drupal

В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2018-7600), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса без аутентификации. Проблема достаточно проста в эксплуатации и затрагивает ветки Drupal 8, 7 и 6. Всем пользователям рекомендуется срочно установить обновления Drupal 8.5.1, 7.58, 8.3.9, 8.4.6 или использовать патч.

Для эксплуатации уязвимости достаточно передать параметр запроса или Cookie, начинающийся с символа "#", который будет обработан как спецключ для вызова произвольного PHP-обработчика через Render Arrays и Drupal Form API.

  1. Главная ссылка к новости (https://www.drupal.org/sa-core...)
  2. OpenNews: Уязвимости в системе управления web-контентом Drupal
  3. OpenNews: Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости
  4. OpenNews: Конфликт в сообществе Drupal из-за расхождения личных взглядов и общественных ценностей
  5. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  6. OpenNews: Критические уязвимости в системе управления web-контентом Drupal 8
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: drupal
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, Аноним, 23:59, 28/03/2018 [ответить] [смотреть все]
  • +16 +/
    Это не дыра, это фича!
     
     
  • 2.34, Аноним, 21:17, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    господи друпал это жи грех какой то
     
  • 1.3, Аноним, 00:02, 29/03/2018 [ответить] [смотреть все]
  • +/
    А патчи в стили PHP, годы идут, ничего не меняется Мы тут ввод подчистим, вмест... весь текст скрыт [показать]
     
     
  • 2.4, пох, 00:32, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    принципиальная дыра - это вообще работать с каким-либо user input В противном с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, YetAnotherOnanym, 18:56, 29/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Принципиальная дыра - это ожидать, что в user input будет только то, что там дол... весь текст скрыт [показать]
     
     
  • 4.48, пох, 16:16, 31/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >  Принципиальная дыра - это ожидать, что в user input будет только то, что там должно быть по
    > представлениям разработчика.

    они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, где нужно фильтровать еще один из сотни символов, имеющих специльное значение.

    это не лечится, это будет всегда.


      

     
  • 2.43, anomymous, 11:55, 31/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Принципиально дыра в головах. Прикрыть будет ооооочень сложно.
     
  • 1.5, th3m3, 01:15, 29/03/2018 [ответить] [смотреть все]  
  • +3 +/
    Что, опять?
     
  • 1.6, Sylvia, 07:03, 29/03/2018 [ответить] [смотреть все]  
  • +1 +/
    https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-002.patch

    для Drupal6

     
  • 1.7, Аноним, 08:05, 29/03/2018 [ответить] [смотреть все]  
  • –3 +/
    Одним словом - пехапе
     
     
  • 2.8, IRASoldier, 08:21, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Аноним, 10:29, 29/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    ну, на самом-то деле, изначальное отсутствие в языке с низким порогом вхождения... весь текст скрыт [показать]
     
     
  • 4.15, KonstantinB, 11:18, 29/03/2018 [^] [ответить] [смотреть все]  
  • +/
    В современном PHP все уже есть А в старом коде времен php4, да, я видел парсер... весь текст скрыт [показать]
     
     
  • 5.17, Аноним, 12:30, 29/03/2018 [^] [ответить] [смотреть все]  
  • +/
    так это одной А полмиллиона других компаний сэкономили на этом по доллару - и в... весь текст скрыт [показать]
     
     
  • 6.23, KonstantinB, 13:04, 29/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП.
     
  • 4.40, Аноне, 10:34, 30/03/2018 [^] [ответить] [смотреть все]  
  • +/
    htmlspecialchars, filter_var
     
     
  • 5.46, пох, 13:45, 31/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    это слишком низкоуровневые конструкции, и к тому же они by design неверны если ... весь текст скрыт [показать]
     
  • 1.9, Fy, 08:53, 29/03/2018 [ответить] [смотреть все]  
  • –1 +/
    Дырень касается всех или только тех у кого есть какие-то пользователи и они чего-то куда-то вводят?
     
     
  • 2.10, ваш К.О., 10:17, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    если у твоего локалхоста нет пользователей - нет, тебя не касается Особенно есл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Солнышко, 14:08, 29/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Тонко
     
     
  • 4.41, Аноним, 16:22, 30/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Да куда уж тоньше Словно сайты без аунтификации и прочих форм ввода бывают толь... весь текст скрыт [показать]
     
  • 2.12, 123, 10:39, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Касается всех, даже включение режима обслуживания не спасет Ошибка прямо с бутс... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Солнышко, 11:12, 29/03/2018 [ответить] [смотреть все]  
  • –2 +/
    Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программирование, но нужна гибкая настройка сущностей. А шкурку натянуть можно какую хочешь. Скорость правда не ахти, но для корпоратпорталов и не надо.
     
     
  • 2.16, Аноним, 12:29, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    И безопасность, как видим, тоже Но шкурку натянуть можно, это да ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Солнышко, 12:38, 29/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Для бизнеса чаще всего важнее шкурка, а не содержание В таком мире мы живем ... весь текст скрыт [показать]
     
     
  • 4.22, KonstantinB, 13:01, 29/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Для бизнеса важны бабки, а как следствие - важно все Просто некоторые осознают ... весь текст скрыт [показать]
     
     
  • 5.25, ыы, 14:05, 29/03/2018 [^] [ответить] [смотреть все]  
  • –3 +/
    или не понесут а при удачном раскладе еще и страховку нехилую получат раскр... весь текст скрыт [показать]
     
     
  • 6.27, Солнышко, 14:08, 29/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Или продадут успешный стартап, а отдуваться будет подрядчик фирмы, кто его куп... весь текст скрыт [показать]
     
  • 6.30, KonstantinB, 15:28, 29/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Да вот прямо сейчас последствия работы таких мастеров разгребаю До человека, к ... весь текст скрыт [показать]
     
     
  • 7.32, ыы, 16:33, 29/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Неприятности происходят вне зависимости от того делаете вы что-то или нет с ... весь текст скрыт [показать]
     
     
  • 8.35, KonstantinB, 23:28, 29/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Простите, вы какие-то вещества употребляете, или это ваш естественный ход мыслей?
     
     
  • 9.36, Аноним, 00:08, 30/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну чел вообще-то в чём-то прав. Вы с ним не согласны?
     
     
  • 10.42, KonstantinB, 05:22, 31/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Два еврея пришли к раввину, чтобы он разрешил их спор.
    - Ребе, вот я говорю, что на небе луна.
    - Ты прав.
    - А он говорит, что это месяц.
    - И он прав.
    Жена раввина кричит с кухни:
    - Соломон, так не может быть, чтоб они оба были правы!
    - И ты права.
     
  • 1.14, KonstantinB, 11:16, 29/03/2018 [ответить] [смотреть все]  
  • +2 +/
    Оу шыт! Вы посмотрите на этот патч. Он выкидывает все параметры GET/POST-запросов и куки, имена которых начинаются с символа "#".

    Это же что там с ними делается, что у них означает этот маркер, что его использованием можно запустить произвольный код? Eval? Call_user_func? Кому вообще пришло в голову такое сделать? И сколько же таких мест, что вместо того, чтобы их переписать по-человечески, надо делать глобальную фильтрацию?

    Это не php, это люди, которых нельзя пускать за клавиатуру.

     
     
  • 2.20, 123, 12:46, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Система render array https www drupal org docs 8 api render-api render-arrays ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, KonstantinB, 12:58, 29/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Скорее https api drupal org api drupal developer 21topics 21forms_api_referenc... весь текст скрыт [показать]
     
  • 2.28, Солнышко, 14:09, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Будь мужиком, покажи класс Напиши свой патч, а мы посмотрим, ок ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, KonstantinB, 15:26, 29/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Там изначальная архитектурная ошибка со смешением данных и колбэков в одном масс... весь текст скрыт [показать]
     
     
  • 4.31, ыы, 16:27, 29/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    "В тот момент эта идея мне показалась привлекательной" (с) анек
     
     
  • 5.37, Аноним, 00:11, 30/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    А можно весь анекдот? Сходу не нагуглил :(
     
     
  • 6.38, Led, 01:21, 30/03/2018 [^] [ответить] [смотреть все]  
  • +/
    > А можно весь анекдот?

    Так это он весь и есть: "ыы"


     
  • 4.44, anomymous, 11:58, 31/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    > Там изначальная архитектурная ошибка со смешением данных и колбэков в одном массиве,
    > с префиксом "#" у колбэков.

    Смешение user input и callbacks в одном массиве?
    OH SHI...
    Закoпать и не откапывать.

     
     
  • 5.47, пох, 13:49, 31/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Смешение user input и callbacks в одном массиве?

    "когда мы это писали - классов в php (4?) еще не было"

    а им надо было донести до обработчика и данные, и какое-то обозначение, что с ними делать.

     
     
  • 6.49, KonstantinB, 20:27, 31/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да были классы.

    В конце концов, можно было бы просто два разных массива сделать.

     
  • 1.39, Аноним, 07:43, 30/03/2018 [ответить] [смотреть все]  
  • +/
    Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома?
     
     
  • 2.45, redwolf, 12:45, 31/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Он уже миллион лет не на Друпале. Это всё реклама.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor