The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в системе управления контентом Drupal

21.11.2020 10:44

В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2020-13671), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен критический уровень опасности. Проблема устранена в выпусках Drupal 7.74, 8.9.9, 8.8.11 и 9.0.8.

Уязвимость вызвана некорректной проверкой двойных расширений при загрузке файлов на сервер, что позволяет загрузить файл вида filename.php.txt, который в определённых серверных конфигурациях при обращении будет выполнен как PHP-код. Из опасных расширений, для которых неверно может быть обработан MIME-тип, отмечены phar, php, pl, py, cgi, asp, js, html, htm и phtml.

  1. Главная ссылка к новости (https://www.drupal.org/sa-core...)
  2. OpenNews: Уязвимость в библиотеке PharStreamWrapper, затрагивающая Drupal, Joomla и Typo3
  3. OpenNews: Критическая уязвимость в системе управления web-контентом Drupal
  4. OpenNews: Уязвимости в Drupal
  5. OpenNews: Новая критическая уязвимость в Drupal, уже используемая для совершения атак
  6. OpenNews: Критическая уязвимость в Drupal
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54127-drupal
Ключевые слова: drupal, cms
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (64) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:59, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Судя по обилию комментариев, все местные эксперты побежали обновляться.
     
     
  • 2.8, Аноним (8), 11:43, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ты еще вчера обновился и молодец?
     
     
  • 3.16, пох. (?), 13:28, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У него автообновление, как у всех нормальных пацанов. С утра уже починил все 3d-party плагины которые оно поломало, и спит себе до обеда.


     
     
  • 4.36, Dzen Python (ok), 18:33, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А разве это реально? Починить все плагины после обновления?
     
     
  • 5.49, пох. (?), 23:11, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну выключил те что не чинятся, и спи теперь до ужина.
    А чо, варианты как будто есть? ;-)
     
  • 2.59, Pilat66 (?), 14:39, 22/11/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да просто друпал продолжают использовать только те, кто вообще не читает рассылки по безопасности. Остальные давно о нём забыли.
     
     
  • 3.64, гшшг (?), 17:10, 22/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Перешли на вордпресс наверное?
    Или если ваше смс никому не нужно, то оно безопаснее?
     

  • 1.2, YetAnotherOnanym (ok), 11:16, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Ну... бывает, чо. Зато нет сишных дыреней, нувыпонели.
     
     
  • 2.3, Ordu (ok), 11:19, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Дело фрактала живёт. Теперь сишные дырени проникают в обсуждения без каких-либо усилий с его стороны.
     
     
  • 3.5, YetAnotherOnanym (ok), 11:40, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это я его кастую. Не спугни.
     
     
  • 4.46, Аноним (-), 21:09, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    зачем, одного достаточно, не надо новых спаунить
     
  • 2.4, Аноним (4), 11:24, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А PHP на чём написан? То-то же!
     
     
  • 3.6, YetAnotherOnanym (ok), 11:41, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP находили критические уязвимости едва ли не каждый день, остались в прошлом.
     
     
  • 4.13, Аноним (13), 12:07, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    джо стала неуловимым
     
  • 4.32, пох. (?), 17:22, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Напомните, давно ли была уязвимость в php-fpm? ;-) RCE, afair?
    Которую еще и отказались исправлять в "нимоднанимодна, все, eol, мы обмазываемся только свеженьким" пятых версиях.

    А уязвимость в phar - просто объявлена notabug, closed. Времена когда критические уязвимости признавали таковыми - видать да, давно прошли, и не только в php.

     
     
  • 5.57, YetAnotherOnanym (ok), 10:58, 22/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, я за пыхом не слежу, но по сравнению с тем, что было, сейчас просто покой и благолепие.

     

  • 1.7, Аноним (8), 11:42, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Уязвимость так и называется Drupal заражает сервера под управлением Линукс.
     
     
  • 2.11, Аноним (11), 11:59, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где в информации говорится о Linux?
     

  • 1.9, Аноним (9), 11:53, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > позволяет загрузить файл вида filename.php.txt, который в определённых серверных конфигурациях при обращении будет выполнен как PHP-код

    а с чего это вообще уязвимость? Где такие _серверные_ конфигурации, которые имя файла режут и исполняют?

     
     
  • 2.19, gogo (?), 13:55, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    дефолтный конфиг Apache?
     
     
  • 3.21, Аноним (9), 14:06, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Что?

    а файл so.txt он, наверно, как модуль подтягивает

     
  • 3.23, Аноним (23), 14:38, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Разве что у любителей докеров от Васянов.
     

  • 1.10, Аноним (11), 11:57, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    WAMP?
     
  • 1.12, Аноним (12), 12:05, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Белки-истерички какие-то.
    Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php, это исключительно проблема места произрастания рук администратора этого сервера.
    Друпал, как и любой другой скрипт для аплоада, к этому отношение имеет нулевое.
    А тут аж cve, да ещё и critical.
     
     
  • 2.17, пох. (?), 13:38, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • –6 +/
    include filename php txt Ну покажи, покажи же нам, не стесняйся да не, эти... большой текст свёрнут, показать
     
     
  • 3.20, Аноним (9), 14:00, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > include('filename.php.txt')

    И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include
    Только проблема будет не в загруженном, а в файле с инклудом.

     
     
  • 4.22, пох. (?), 14:21, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include

    вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить, а txt не будут исполнять. Но в regex забыли $ после php, поэтому вышла такая фигня.

    > Только проблема будет не в загруженном, а в файле с инклудом.

    Так это весь дрюпал и есть.

     
  • 3.34, Аноним (34), 17:59, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >include('filename.php.txt')

    ССЗБ.

     
  • 3.40, Аноним (12), 19:10, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И откуда этот include взялся? Либо ты его сам написал, либо в коде есть уязвимость с include injection - и в этом случае закрывать надо именно include injection, а не как индус лечить симптомы.
     
  • 2.24, Аноним (23), 14:40, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "Контейнер не мой, я просто его развернул"
     

  • 1.14, Аноним (13), 12:08, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    а кто кого друпал так и не рассказали
     
     
  • 2.42, Какаянахренразница (ok), 20:14, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > кто кого друпал

    Я твой дом труба друпал

     

  • 1.18, Аноним (18), 13:53, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Никогда такого не было, и вот опять...
     
  • 1.25, Аноним (-), 14:59, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Drupal для тех, кто не может вручную сайт написать.
     
     
  • 2.26, Аноним (18), 15:25, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Причём сложность написания своего даже меньше, чем что-то под друпал разрабатывать.
     

  • 1.27, DEF (?), 16:03, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Дрюпал еще жив? Вордпресс почти все завхватил уже, вытеснив остальные ЦМСки.
     
  • 1.28, смузихлёб (?), 16:26, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Кто-то в 2к20 пользуется ещё Друпалом? Таких веб-сайтов меньше половины процента наверное.
     
     
  • 2.68, Shoorick (?), 12:36, 23/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://w3techs.com/technologies/history_overview/content_management — два с половиной процента по состоянию на ноябрь 2020. Вместе с WiX делит четвёртое-пятое место, а если рассматривать только CMS — третье. Полпроцента — это гораздо менее популярный TYPO3.
     

  • 1.29, Alex_K (??), 16:33, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Проблеме подвержены скорее всего конфигурации с
    AddType application/x-httpd-php .php

    Наиболее же безопасным является
    <FilesMatch "\.php$">
    SetHandler application/x-httpd-php
    </FilesMatch>

     
     
  • 2.31, пох. (?), 17:19, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, проверь и убедись что с .php.txt у тебя получится text/plain
    Апач, знаешь ли, писали не настолько альтернативно-одаренные.

     
     
  • 3.35, Alex_K (??), 18:08, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я с вами спорить не буду. В свое время проверял работу и был удивлен результату.
    Да и документация про множественные расширения допускает это
    http://httpd.apache.org/docs/2.4/mod/mod_mime.html#multipleext
     
     
  • 4.39, Аноним (12), 19:04, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это уже не addtype, а addhandler. Это, да, минное поле.
     
     
  • 5.50, пох. (?), 23:14, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Но addhandler используется в реальной жизни примерно никем, а в нереальной - с ооочень редкой экзотикой, причем мертвой уже лет пятнадцать как.

    Для php уж точно никем и никогда, это какое-то совсем шизофреническое извращение.

    В любом случае, не вижу как такое можно исправить _друпалом_. Очевидно, что проблема исправляемая внутри друпала - она в друпале, а не в апаче.

     
     
  • 6.63, Аноним (63), 16:55, 22/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, друпал часто ставят на васян-хостинги, настроенные копипастой со stackoverflow, потому я могу понять озабоченность.

    Но cve это перебор, да.

     
  • 2.38, Аноним (12), 19:00, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все нормально будет с addtype.

    А вот если в регулярке забудешь конечный доллар - получится как раз искомое.

     
     
  • 3.53, пох. (?), 23:21, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу, как обычно у белок-истеричек. В борьбе за видимость безопасности - как раз и заменяют надежное дубовое решение - дырявым by design.

     
  • 3.55, Alex_K (??), 01:45, 22/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну смотря, что считатать нормой. Вот мануал по AddType
    http://httpd.apache.org/docs/2.4/mod/mod_mime.html#addtype
     

  • 1.30, Анон1212 (?), 16:49, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Друпал еще жив? Я думал еще году в 2010 всё
     
     
  • 2.33, Аноним (-), 17:38, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Друпал еще жив? Я думал еще году в 2010 всё

    Если ты жив значит и Друпал жив.

     

  • 1.41, jura12 (ok), 19:39, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нормально все. обычная практика обновлять движёк. курирую 4 сайта друпал.
     
     
  • 2.44, Аноним (44), 20:49, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > движёк

    Это даже не опечатка, т.к. надо потянуться в угол.

     
  • 2.47, anoname (?), 22:35, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Держи нас в курсе.
     

  • 1.43, Dzen Python (ok), 20:36, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Иэх. Предчувсвую очередную боль у админов старой - работает, не трожь - закалки. Тут же трогать надо, обновлять, тестить...
     
     
  • 2.45, Аноним (45), 21:04, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Думаешь у них дело дойдет до "тестить"? Свлится - будут исправлять, а пока работает - не трогать!
     
     
  • 3.52, пох. (?), 23:17, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Учитывая что речь о друпале - разумеется, свалится. Или отвалятся модули, или развалится самописная глагна. Когда б оно бывало иначе. Так что чего там тестить - сразу можно идти чинить.

     
     
  • 4.58, InuYasha (??), 11:32, 22/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так что же - вротпресс лучше?
     
     
  • 5.65, пох. (?), 23:56, 22/11/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На одном стуле - пики точены,а на другом тоже так себе наборчик.

    В целом не вижу поводов для смены платформы, какая бы из двух она не была.

     
  • 5.67, Аноним (18), 08:38, 23/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    оба в мусорку
     
  • 4.69, хоп (?), 11:59, 24/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не выдумывайте. В данном случае для D7 патч на 440 строк правит три файла, из которых два файла и 330 строк -- это юнит-тесты, а оставшееся -- переименовыватель foo.php.txt в foo.php_.txt
     

  • 1.48, Аноним (48), 22:45, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А главное что в патче есть переменная whitelist несмотря на то что они первые под педиков прогнулись.
     
     
  • 2.51, пох. (?), 23:16, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мерзавцы! Как они смеют! Срочно на колени перед неграми, и сосат!

    Ты уже прислал им гневный pr? Или опять все самому делать надо?

     
     
  • 3.54, jura12 (ok), 23:40, 21/11/2020 [^] [^^] [^^^] [ответить]  
  • +/
    сделай все сам. встань и с..ни.
     
     
  • 4.61, пох. (?), 15:29, 22/11/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Это тебе придется, самому. У моих предков, к сожалению, никогда не было даже одного чорного раба, не защитается.

     
     
  • 5.66, Аноним (18), 02:50, 23/11/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > к сожалению, никогда не было даже одного чорного раба

    Сочувствую... К соседским ходили с..ть?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру