https://opennet.ru/openforum/vsluhforumID3/113956.html В системе управления контентом Drupal выявлена (https://www.drupal.org/sa-core-2018-002) критическая уязвимость (https://groups.drupal.org/security/faq-2018-002) (CVE-2018-7600 (https://security-tracker.debian.org/tracker/CVE-2018-7600)), которую можно использовать для удалённого выполнения кода на сервере через отправку специально оформленного запроса без аутентификации. Проблема достаточно проста в эксплуатации и затрагивает ветки Drupal 8, 7 и 6. Всем пользователям рекомендуется срочно установить обновления Drupal 8.5.1, 7.58, 8.3.9, 8.4.6 или использовать патч (https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f).<br><br><br><br>Для эксплуатации уязвимости достаточно (https://twitter.com/codeincarnate/status/979080318966730753) передать параметр запроса или Cookie, начинающийся с символа "#", который будет обработан как спецключ для вызова произвольного PHP-обработчика через Drupal Form API (https://api.drupal.org/api/drupal/developer%21topics%21forms_api_reference.html https://opennet.ru/openforum/vsluhforumID3/113956.html#52 Tue, 28 Mar 2023 08:07:43 GMT Неудовлетворенные влечения, как сознательные, так и бессознательные, заставляют человека испытывать любовные надежды в отношении практически всех встречающихся ему новых лиц. Как вернуть интерес к жизни: 11 шагов<br> https://opennet.ru/openforum/vsluhforumID3/113956.html#51 Sat, 28 Apr 2018 20:16:36 GMT Drupal6 упоминается почему-то только в одной ссылке. В двух других только 7 и 8. Там вообще про одну и ту же уязвимость?<br> https://opennet.ru/openforum/vsluhforumID3/113956.html#49 Sat, 31 Mar 2018 17:27:36 GMT Да были классы.<br><br>В конце концов, можно было бы просто два разных массива сделать.<br> https://opennet.ru/openforum/vsluhforumID3/113956.html#48 Sat, 31 Mar 2018 13:16:02 GMT &gt; Принципиальная дыра - это ожидать, что в user input будет только то, что там должно быть по<br>&gt; представлениям разработчика.<br><br>они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, где нужно фильтровать еще один из сотни символов, имеющих специльное значение.<br><br>это не лечится, это будет всегда.<br><br><br> <br> https://opennet.ru/openforum/vsluhforumID3/113956.html#47 Sat, 31 Mar 2018 10:49:41 GMT &gt; Смешение user input и callbacks в одном массиве?<br><br>"когда мы это писали - классов в php (4?) еще не было"<br><br>а им надо было донести до обработчика и данные, и какое-то обозначение, что с ними делать.<br> https://opennet.ru/openforum/vsluhforumID3/113956.html#46 Sat, 31 Mar 2018 10:45:35 GMT &gt; htmlspecialchars, filter_var<br><br>это слишком низкоуровневые конструкции, и к тому же они by design неверны (если использовать filter не для валидации, с этим-то все в порядке, кроме названия).<br>То есть малейшая неаккуратность, и получаем дыру типа описанной.<br><br>трансляцию надо выполнять не на обработке input (потому что совершенно неизвестно, что мы с тем input делать собираемся - мы его может вообще сейчас as-is бросим обратно в рожу пользователю в тот textarea, из которого получили, потому что он капчу неверно набрал - и зачем, спрашивается, было куда-то транслировать?)<br>ее надо выполнять в том месте, где ты с этим input что-то собрался делать.<br><br>Если в базу собрался положить - тебе нужен sql translator, если в html - html'ный, в js - js'овый. Ну, надеюсь, eval() мы не собираемся? Хотя php-транслятором лучше сразу озаботиться ;-)<br><br>Известно это становится только непосредственно на этапе выполнения, уже после всех валидаций и промежуточных обработок (попутно уже нельзя в этом месте вернуть ошибку и ничего https://opennet.ru/openforum/vsluhforumID3/113956.html#45 Sat, 31 Mar 2018 09:45:24 GMT Он уже миллион лет не на Друпале. Это всё реклама.<br> https://opennet.ru/openforum/vsluhforumID3/113956.html#44 Sat, 31 Mar 2018 08:58:56 GMT &gt; Там изначальная архитектурная ошибка со смешением данных и колбэков в одном массиве, <br>&gt; с префиксом "#" у колбэков.<br><br>Смешение user input и callbacks в одном массиве?<br>OH SHI...<br>Закoпать и не откапывать.<br> https://opennet.ru/openforum/vsluhforumID3/113956.html#43 Sat, 31 Mar 2018 08:55:57 GMT Принципиально дыра в головах. Прикрыть будет ооооочень сложно.<br>