The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в системе управления web-контентом Drupal

21.02.2019 21:02

В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2019-6340), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен наивысший уровень опасности - "Highly critical" (20∕25). Проблема устранена в выпусках Drupal 8.5.11 и 8.6.10.

Уязвимость вызвана отсутствием должной чистки некоторых типов полей, передаваемых не через обычные формы ввода, а через API для взаимодействия с web-сервисами. Проблема проявляется в Drupal 8 при разрешении методов PATCH или POST и активности встроенного модуля RESTful Web Services (rest) или любых внешних модулей с реализацией web-сервисов, таких как JSON:API в Drupal 8 или Services и RESTful Web Services в Drupal 7. В качестве обходного пути защиты можно отключить все модули с реализацией API для работы web-сервисов. Исходно также предлагалось запретить в настройках обработку запросов к ресурсам web-сервисов с использованием HTTP-методов PUT, PATCH и POST, но позже разработчики Drupal сообщили, что этого недостаточно.

Помимо входящего в базовый состав API RESTful Web Services выделено 8 проблемных внешних модулей, в которых может быть эксплуатирована данная уязвимость. Проблема затрагивает основную поставку Drupal только для ветки Drupal 8.x. Ветка Drupal 7 сама по себе не требует обновления, но вышеупомянутые варианты модулей для неё подвержены проблеме и требуют отдельного обновления.

  1. Главная ссылка к новости (https://www.drupal.org/psa-201...)
  2. OpenNews: Уязвимости в Drupal
  3. OpenNews: Новая критическая уязвимость в Drupal, уже используемая для совершения атак
  4. OpenNews: Критическая уязвимость в Drupal
  5. OpenNews: Уязвимости в системе управления web-контентом Drupal
  6. OpenNews: Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: drupal
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 21:30, 21/02/2019 [ответить] [показать ветку] [···]    [к модератору]
  • +6 +/
    Когда была новость про Wordpress, сразу подумал о друпале. Вот и настал его черёд
     
     
  • 2.2, Аноним (2), 21:33, 21/02/2019 [^] [ответить]    [к модератору]
  • +9 +/
    wordpress, joomla, drupal - святая троица
     
     
  • 3.4, th3m3 (ok), 21:35, 21/02/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Joomla разве ещё жива?
     
     
  • 4.5, Аноним (2), 21:39, 21/02/2019 [^] [ответить]    [к модератору]
  • +6 +/
    живее живых:

    >Created: 12 February 2019
    >Joomla 3.9.3 is now available. This is a security fix release for the 3.x series of Joomla which addresses 6 security vulnerabilities and contains 30 bug fixes

    :)

     
  • 4.6, Аноним (1), 21:40, 21/02/2019 [^] [ответить]    [к модератору]
  • +/
    Ну последний релиз 9 дней назад, судя по англовики
     
  • 4.9, Аноним (9), 21:49, 21/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Вам сюда https://framework.joomla.org
    Уже и framework и composer и все "потроха" меняют аккуратно без революций, незаметно для пользователей.
     
     
  • 5.10, th3m3 (ok), 21:55, 21/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Сейчас стало модно добавлять слово - Framework. Даже Битрикс теперь Framework :) Но только от этого, они лучше не стали)
     
     
  • 6.11, Аноним (11), 22:15, 21/02/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну почему. Та же жумла лучше *стала.* Но лучше там ещё становиться и становиться.
     
  • 5.16, Вадии (?), 03:10, 22/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Как бы фреймворк мало общего с платформой имеет Они лишь планируют их сливать и... весь текст скрыт [показать]
     
     
  • 6.18, Аноним (18), 07:35, 22/02/2019 [^] [ответить]    [к модератору]  
  • +/
    До фреймворка вручную правили платформу, теперь - фреймворк. Чтобы сделать автоматическое обновление невозможным. Т.о. заказчик навсегда привязан к разработчику. Или заказывает новый сайт.
     
  • 4.34, Kuromi (ok), 04:04, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Жумла стала не то что жива, а даже "более-менее" - в последнее время все таки работа над безопасностью дает о себе знать и дырок стало меньше.
     
     
  • 5.37, th3m3 (ok), 16:32, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Неужели кто-то ещё остался на php и юзает коробочные CMS? Разве что - студенты шлёпают сайты за еду на этом.
     
     
  • 6.40, Kuromi (ok), 17:04, 23/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Иногда большего и не нужно А еще иногда надо вот это вот нашлепанное 5-10 лет... весь текст скрыт [показать]
     
  • 1.7, Аноним (1), 21:41, 21/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как, интересно, дела у MediaWiki?
     
     
  • 2.22, Аноним (22), 11:31, 22/02/2019 [^] [ответить]    [к модератору]  
  • +/
    т.к. её запустить (что-бы можно пользоваться было) ещё суметь нужно, она не интересна как цель для взломщиков пока есть другие более массовые продукты.
     
  • 1.12, commiethebeastie (ok), 22:49, 21/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >позволяющая удалённо выполнить произвольный PHP код на сервере.

    Мило.

     
  • 1.13, Аноним (13), 23:01, 21/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Друпал 8 все время нестабильный и никому не нужный.
     
     
  • 2.24, Попугай Кеша (?), 12:42, 22/02/2019 [^] [ответить]    [к модератору]  
  • +/
    Ему надо долго учиться, а Joomla/WordPress взял и пошел фигачить статейки
     
  • 1.14, Kaiwas (?), 23:54, 21/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    что-то этакое подобное/похожее закрывали с год назад в modx
     
  • 1.15, Аноним (15), 00:29, 22/02/2019 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Я не понимаю, чего все агрятся Да, уязвимость Но не следует забывать, что друп... весь текст скрыт [показать]
     
     
  • 2.20, Jvc1 (?), 09:05, 22/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    Когда-то JS тоже был для браузеров ради динамики веб-страничек, а Java - для умной бытовой техники.
     
     
  • 3.21, Аноним (15), 09:12, 22/02/2019 [^] [ответить]     [к модератору]  
  • +/
    и даже в те времена js- и java-файлы были именно исходниками на языке программ... весь текст скрыт [показать]
     
     
  • 4.25, Jvc1 (?), 14:25, 22/02/2019 [^] [ответить]    [к модератору]  
  • +/
    В PHP можно как угодно, в том числе и так. А в JSP/JSF не так что ли?
     
     
  • 5.27, Аноним (27), 15:00, 22/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Ага, и поэтому все похапе-файлы начинаются исключительно с php, причем всякие ... весь текст скрыт [показать]
     
     
  • 6.30, Аноним (30), 17:10, 22/02/2019 [^] [ответить]    [к модератору]  
  • –1 +/
    > всякие утф-бомы совать нельзя

    Зачем вам совать утф-бомы? ascii для кода и комментариев, utf-8 без бома для тех редких случаев, когда нужна иностранщина.

     
     
  • 7.31, Аноним (15), 18:10, 22/02/2019 [^] [ответить]     [к модератору]  
  • –1 +/
    Сунул бом в файл якобы исходного кода - запустилась логика по отправке HTTP-за... весь текст скрыт [показать]
     
  • 4.28, Ordu (ok), 16:01, 22/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Вот сейчас ты пытаешься натянуть сову на глобус Ты используешь совершенно невал... весь текст скрыт [показать]
     
     
  • 5.29, Аноним (27), 16:45, 22/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Все, что ты говоришь, - правильно Но одновременно с этим все, что ты говоришь, ... весь текст скрыт [показать]
     
     
  • 6.32, Ordu (ok), 18:22, 22/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > Если же подходить к вопросу с позиций, что Personal Home Page -
    > это именно не более, чем шаблонизатор, то все становится на свои
    > места.

    Это более чем шаблонизатор. Когда я десять лет назад его разглядывал, он тогда был более чем шаблонизатор. Но с совершенно убогой стандартной библиотекой: зачем копировать C'шные API в язык с динамической типизацией, с ООП и прочими штуками? Прежде чем пользоваться этим "шаблонизатором", надо поверх этой библиотеки написать нормальную, с API которые напрашиваются из возможностей языка.

     
     
  • 7.33, Аноним (15), 19:24, 22/02/2019 [^] [ответить]     [к модератору]  
  • +2 +/
    По пыху можно отследить прогресс в изучении его автором языков программирования ... весь текст скрыт [показать]
     
  • 5.35, пох (?), 13:31, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > Вон с дырой в плагине к wordpress, я так и не понял, зачем было ждать от плагина, чтобы тот
    > проверял привилегии, почему нельзя было сделать это в update_options?

    потому что, внезапно, нет ничего необычайного в плагине, который управляет привиллегиями.

    на этом, собственно, надо микрофон апологету выключить, и больше его выступлений не слушать, поскольку он не понимает совершенно тривиальных вещей, но вещает нам о мировых тенденциях.

    > С тех пор уже были примеры cl-sql и ActiveRecord в rails. Как минимум два -- это те, в которые я
    > заглядывал, сколько же есть реализаций, в которые я не заглядывал, я даже предположить боюсь.

    больше прокладок богу прокладок.
    И, конечно же, их какие-то уникальные люди пишут, не те же самые.

    А для писания на php, как встарь, достаточно знания sql, а не еще стапиццот прокладок (впрочем, новые-модные фреймворки это успешно нивелируют). А если вы не умеете в работу с untrusted input и делаете какие-то предположения о том, что он может содержать - то вам никакие прокладки не помогут вообще - все равно вас поимеют.

     
     
  • 6.38, Ordu (ok), 16:36, 23/02/2019 [^] [ответить]     [к модератору]  
  • +/
    И что Сделай либо API в ядре CMS для установки объекта управляющего привилегиям... весь текст скрыт [показать]
     
     
  • 7.39, пох (?), 17:03, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    > И что? Сделай либо API в ядре CMS

    ну сделай, что-ли... только, полагаю, описание всех возможных в твоей cms апи закончат читать к моменту, когда конкуретны на вротпрессе и дрюпалке уже пятую версию сайта выкатят.

    > С untrusted input (как впрочем и со всем остальным) проблема решается очень просто: пишется
    > отдельный код, который из untrusted input'а, делает trusted.

    похоже, ты никогда не пытался его написать.
    Нет, не бывает такого кода. Единственный способ работы с untrusted input - помечать его таки как untrusted, и тащить в таком виде через весь код до места применения.
    Разбери простейший пример - untrusted input - текст (предположим, только) из веб-формы.

     
     
  • 8.41, Ordu (ok), 18:10, 23/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Вот делать мне больше нечего, кроме как решать проблемы пэхапунов Ну, реально ... весь текст скрыт [показать]
     
     
  • 9.42, пох (?), 19:04, 23/02/2019 [^] [ответить]     [к модератору]  
  • +/
    ну так, чтоб немного отличаться от абстрактного диванного теоретика, не и для л... весь текст скрыт [показать]
     
     
  • 10.43, Ordu (ok), 20:11, 23/02/2019 [^] [ответить]     [к модератору]  
  • +/
    Нет, это недостаточная причина Естественно Ещё его надо тестировать после любо... весь текст скрыт [показать]
     
  • 2.23, YetAnotherOnanym (ok), 11:55, 22/02/2019 [^] [ответить]    [к модератору]  
  • +2 +/
    > акварельные рисунки своих 6-летних детей

    Тонко. Зачот.

     
  • 1.26, Drupaler (?), 14:41, 22/02/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Друпал с восьмой веткой явно пошел не туда. + разбазаривание сил на 7ю и 8ю.
    7 - лучшее, что было в Друпале, пилить бы и пилить, но нет... хипстеры, новые веяния..
    Жаль.
     
     
  • 2.36, хыпстер (?), 13:34, 23/02/2019 [^] [ответить]    [к модератору]  
  • +/
    пилите, кто вам-то не дает? А-а-а, вы хотите чтоб пилил кто-то, а вам нахаляву пользоваться и еще и за деньги результат продавать? Тогда жрите что поднесли на лопате. Потому что те кто занимаются разработкой друпалок - получать деньги тоже любят, и делают ровно то, что, тем или иным способом, им эти деньги приносит.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor