The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.03.2018 23:33  Критическая уязвимость в Drupal

В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2018-7600), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса без аутентификации. Проблема достаточно проста в эксплуатации и затрагивает ветки Drupal 8, 7 и 6. Всем пользователям рекомендуется срочно установить обновления Drupal 8.5.1, 7.58, 8.3.9, 8.4.6 или использовать патч.

Для эксплуатации уязвимости достаточно передать параметр запроса или Cookie, начинающийся с символа "#", который будет обработан как спецключ для вызова произвольного PHP-обработчика через Render Arrays и Drupal Form API.

  1. Главная ссылка к новости (https://www.drupal.org/sa-core...)
  2. OpenNews: Уязвимости в системе управления web-контентом Drupal
  3. OpenNews: Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости
  4. OpenNews: Конфликт в сообществе Drupal из-за расхождения личных взглядов и общественных ценностей
  5. OpenNews: Критическая уязвимость в PHPMailer, применяемом в WordPress, Drupal и Joomla
  6. OpenNews: Критические уязвимости в системе управления web-контентом Drupal 8
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: drupal
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.2, Аноним, 23:59, 28/03/2018 [ответить] [смотреть все]    [к модератору]
  • +18 +/
    Это не дыра, это фича!
     
     
  • 2.34, Аноним, 21:17, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +1 +/
    господи друпал это жи грех какой то
     
  • 1.3, Аноним, 00:02, 29/03/2018 [ответить] [смотреть все]     [к модератору]
  • +/
    А патчи в стили PHP, годы идут, ничего не меняется Мы тут ввод подчистим, вмест... весь текст скрыт [показать]
     
     
  • 2.4, пох, 00:32, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    принципиальная дыра - это вообще работать с каким-либо user input В противном с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, YetAnotherOnanym, 18:56, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Принципиальная дыра - это ожидать, что в user input будет только то, что там дол... весь текст скрыт [показать]
     
     
  • 4.48, пох, 16:16, 31/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест... весь текст скрыт [показать]
     
  • 2.43, anomymous, 11:55, 31/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Принципиально дыра в головах. Прикрыть будет ооооочень сложно.
     
  • 1.5, th3m3, 01:15, 29/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Что, опять?
     
  • 1.6, Sylvia, 07:03, 29/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-002.patch

    для Drupal6

     
     
  • 2.51, dq0s4y71, 23:16, 28/04/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Drupal6 упоминается почему-то только в одной ссылке В двух других только 7 и 8 ... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Аноним, 08:05, 29/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Одним словом - пехапе
     
     
  • 2.8, IRASoldier, 08:21, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Аноним, 10:29, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    ну, на самом-то деле, изначальное отсутствие в языке с низким порогом вхождения... весь текст скрыт [показать]
     
     
  • 4.15, KonstantinB, 11:18, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В современном PHP все уже есть А в старом коде времен php4, да, я видел парсер... весь текст скрыт [показать]
     
     
  • 5.17, Аноним, 12:30, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    так это одной А полмиллиона других компаний сэкономили на этом по доллару - и в... весь текст скрыт [показать]
     
     
  • 6.23, KonstantinB, 13:04, 29/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП.
     
  • 4.40, Аноне, 10:34, 30/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    htmlspecialchars, filter_var
     
     
  • 5.46, пох, 13:45, 31/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    это слишком низкоуровневые конструкции, и к тому же они by design неверны если ... весь текст скрыт [показать]
     
  • 1.9, Fy, 08:53, 29/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Дырень касается всех или только тех у кого есть какие-то пользователи и они чего-то куда-то вводят?
     
     
  • 2.10, ваш К.О., 10:17, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    если у твоего локалхоста нет пользователей - нет, тебя не касается Особенно есл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Солнышко, 14:08, 29/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Тонко
     
     
  • 4.41, Аноним, 16:22, 30/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да куда уж тоньше Словно сайты без аунтификации и прочих форм ввода бывают толь... весь текст скрыт [показать]
     
  • 2.12, 123, 10:39, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Касается всех, даже включение режима обслуживания не спасет Ошибка прямо с бутс... весь текст скрыт [показать] [показать ветку]
     
  • 1.13, Солнышко, 11:12, 29/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программирование, но нужна гибкая настройка сущностей. А шкурку натянуть можно какую хочешь. Скорость правда не ахти, но для корпоратпорталов и не надо.
     
     
  • 2.16, Аноним, 12:29, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    И безопасность, как видим, тоже Но шкурку натянуть можно, это да ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Солнышко, 12:38, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Для бизнеса чаще всего важнее шкурка, а не содержание В таком мире мы живем ... весь текст скрыт [показать]
     
     
  • 4.22, KonstantinB, 13:01, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Для бизнеса важны бабки, а как следствие - важно все Просто некоторые осознают ... весь текст скрыт [показать]
     
     
  • 5.25, ыы, 14:05, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    или не понесут а при удачном раскладе еще и страховку нехилую получат раскр... весь текст скрыт [показать]
     
     
  • 6.27, Солнышко, 14:08, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Или продадут успешный стартап, а отдуваться будет подрядчик фирмы, кто его куп... весь текст скрыт [показать]
     
  • 6.30, KonstantinB, 15:28, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Да вот прямо сейчас последствия работы таких мастеров разгребаю До человека, к ... весь текст скрыт [показать]
     
     
  • 7.32, ыы, 16:33, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Неприятности происходят вне зависимости от того делаете вы что-то или нет с ... весь текст скрыт [показать]
     
     
  • 8.35, KonstantinB, 23:28, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Простите, вы какие-то вещества употребляете, или это ваш естественный ход мыслей... весь текст скрыт [показать]
     
     
  • 9.36, Аноним, 00:08, 30/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Ну чел вообще-то в чём-то прав. Вы с ним не согласны?
     
     
  • 10.42, KonstantinB, 05:22, 31/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Два еврея пришли к раввину, чтобы он разрешил их спор - Ребе, вот я говорю, что... весь текст скрыт [показать]
     
  • 1.14, KonstantinB, 11:16, 29/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Оу шыт! Вы посмотрите на этот патч. Он выкидывает все параметры GET/POST-запросов и куки, имена которых начинаются с символа "#".

    Это же что там с ними делается, что у них означает этот маркер, что его использованием можно запустить произвольный код? Eval? Call_user_func? Кому вообще пришло в голову такое сделать? И сколько же таких мест, что вместо того, чтобы их переписать по-человечески, надо делать глобальную фильтрацию?

    Это не php, это люди, которых нельзя пускать за клавиатуру.

     
     
  • 2.20, 123, 12:46, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Система render array https www drupal org docs 8 api render-api render-arrays ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, KonstantinB, 12:58, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Скорее https api drupal org api drupal developer 21topics 21forms_api_referenc... весь текст скрыт [показать]
     
  • 2.28, Солнышко, 14:09, 29/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    Будь мужиком, покажи класс Напиши свой патч, а мы посмотрим, ок ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, KonstantinB, 15:26, 29/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Там изначальная архитектурная ошибка со смешением данных и колбэков в одном масс... весь текст скрыт [показать]
     
     
  • 4.31, ыы, 16:27, 29/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    "В тот момент эта идея мне показалась привлекательной" (с) анек
     
     
  • 5.37, Аноним, 00:11, 30/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    А можно весь анекдот? Сходу не нагуглил :(
     
     
  • 6.38, Led, 01:21, 30/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А можно весь анекдот?

    Так это он весь и есть: "ыы"


     
  • 4.44, anomymous, 11:58, 31/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    > Там изначальная архитектурная ошибка со смешением данных и колбэков в одном массиве,
    > с префиксом "#" у колбэков.

    Смешение user input и callbacks в одном массиве?
    OH SHI...
    Закoпать и не откапывать.

     
     
  • 5.47, пох, 13:49, 31/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > Смешение user input и callbacks в одном массиве?

    "когда мы это писали - классов в php (4?) еще не было"

    а им надо было донести до обработчика и данные, и какое-то обозначение, что с ними делать.

     
     
  • 6.49, KonstantinB, 20:27, 31/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да были классы.

    В конце концов, можно было бы просто два разных массива сделать.

     
  • 1.39, Аноним, 07:43, 30/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома?
     
     
  • 2.45, redwolf, 12:45, 31/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    Он уже миллион лет не на Друпале. Это всё реклама.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor