В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2020-13671), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен критический уровень опасности. Проблема устранена в выпусках Drupal...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54127

• Критическая уязвимость в системе управления контентом Drupal,Аноним, 10:59 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 11:43 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,пох., 13:28 , 21-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,Dzen Python, 18:33 , 21-Ноя-20
        • Критическая уязвимость в системе управления контентом Drupal,пох., 23:11 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Pilat66, 14:39 , 22-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,гшшг, 17:10 , 22-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,YetAnotherOnanym, 11:16 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Ordu, 11:19 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,YetAnotherOnanym, 11:40 , 21-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,Аноним, 21:09 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 11:24 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,YetAnotherOnanym, 11:41 , 21-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,Аноним, 12:07 , 21-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,пох., 17:22 , 21-Ноя-20
        • Критическая уязвимость в системе управления контентом Drupal,YetAnotherOnanym, 10:58 , 22-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Аноним, 11:42 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 11:59 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Аноним, 11:53 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,gogo, 13:55 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,Аноним, 14:06 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,Аноним, 14:38 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Аноним, 11:57 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Аноним, 12:05 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,пох., 13:38 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,Аноним, 14:00 , 21-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,пох., 14:21 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,Аноним, 17:59 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,Аноним, 19:10 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 14:40 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Аноним, 12:08 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Какаянахренразница, 20:14 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Аноним, 13:53 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Аноним, 14:59 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 15:25 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,DEF, 16:03 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,смузихлёб, 16:26 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Shoorick, 12:36 , 23-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Alex_K, 16:33 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,пох., 17:19 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,Alex_K, 18:08 , 21-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,Аноним, 19:04 , 21-Ноя-20
        • Критическая уязвимость в системе управления контентом Drupal,пох., 23:14 , 21-Ноя-20
          • Критическая уязвимость в системе управления контентом Drupal,Аноним, 16:55 , 22-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 19:00 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,пох., 23:21 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,Alex_K, 01:45 , 22-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Анон1212, 16:49 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 17:38 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,jura12, 19:39 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 20:49 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,IRASoldier_registered, 21:07 , 25-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,anoname, 22:35 , 21-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Dzen Python, 20:36 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,Аноним, 21:04 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,пох., 23:17 , 21-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,InuYasha, 11:32 , 22-Ноя-20
        • Критическая уязвимость в системе управления контентом Drupal,пох., 23:56 , 22-Ноя-20
        • Критическая уязвимость в системе управления контентом Drupal,Аноним, 08:38 , 23-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,хоп, 11:59 , 24-Ноя-20
• Критическая уязвимость в системе управления контентом Drupal,Аноним, 22:45 , 21-Ноя-20
  • Критическая уязвимость в системе управления контентом Drupal,пох., 23:16 , 21-Ноя-20
    • Критическая уязвимость в системе управления контентом Drupal,jura12, 23:40 , 21-Ноя-20
      • Критическая уязвимость в системе управления контентом Drupal,пох., 15:29 , 22-Ноя-20
        • Критическая уязвимость в системе управления контентом Drupal,Аноним, 02:50 , 23-Ноя-20

Судя по обилию комментариев, все местные эксперты побежали обновляться.

А ты еще вчера обновился и молодец?

У него автообновление, как у всех нормальных пацанов. С утра уже починил все 3d-party плагины которые оно поломало, и спит себе до обеда.

А разве это реально? Починить все плагины после обновления?

ну выключил те что не чинятся, и спи теперь до ужина.
А чо, варианты как будто есть? ;-)

Да просто друпал продолжают использовать только те, кто вообще не читает рассылки по безопасности. Остальные давно о нём забыли.

Перешли на вордпресс наверное?
Или если ваше смс никому не нужно, то оно безопаснее?

Ну... бывает, чо. Зато нет сишных дыреней, нувыпонели.

Дело фрактала живёт. Теперь сишные дырени проникают в обсуждения без каких-либо усилий с его стороны.

Это я его кастую. Не спугни.

зачем, одного достаточно, не надо новых спаунить

А PHP на чём написан? То-то же!

Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP находили критические уязвимости едва ли не каждый день, остались в прошлом.

джо стала неуловимым

Напомните, давно ли была уязвимость в php-fpm? ;-) RCE, afair?
Которую еще и отказались исправлять в "нимоднанимодна, все, eol, мы обмазываемся только свеженьким" пятых версиях.

А уязвимость в phar - просто объявлена notabug, closed. Времена когда критические уязвимости признавали таковыми - видать да, давно прошли, и не только в php.

Ну, я за пыхом не слежу, но по сравнению с тем, что было, сейчас просто покой и благолепие.

Уязвимость так и называется Drupal заражает сервера под управлением Линукс.

Где в информации говорится о Linux?

> позволяет загрузить файл вида filename.php.txt, который в определённых серверных конфигурациях при обращении будет выполнен как PHP-код

а с чего это вообще уязвимость? Где такие _серверные_ конфигурации, которые имя файла режут и исполняют?

дефолтный конфиг Apache?

Что?

а файл so.txt он, наверно, как модуль подтягивает

Разве что у любителей докеров от Васянов.

WAMP?

Белки-истерички какие-то.
Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php, это исключительно проблема места произрастания рук администратора этого сервера.
Друпал, как и любой другой скрипт для аплоада, к этому отношение имеет нулевое.
А тут аж cve, да ещё и critical.

> Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php

include('filename.php.txt')

Ну покажи, покажи же нам, не стесняйся... да не, этим сморчком ты кого хотел удивить, спрячь обратно, не позорься, тут у всех длиннее, покажи нам свой чудо-сервер, настроенный так что такое не запустится.

"другой скрипт для аплоада", внезапно, не исполняет как код то что сам же зааплоадил. (Если,конечно, файл не называется phar://чтотатам - но тут скрипт не виноват) А вот дрюпал - могет.

> А тут аж cve, да ещё и critical.

и без малейших деталей. Что как бе намекает, что дело не в настройках сервера (если только не в таких, которые делают все загруженные файлы недоступными для php пока админ не подтвердит вручную - как оно ДОЛЖНО быть блжад, но никогда не будет до конца юги.)

> include('filename.php.txt')

И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include
Только проблема будет не в загруженном, а в файле с инклудом.

> И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include

вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить, а txt не будут исполнять. Но в regex забыли $ после php, поэтому вышла такая фигня.

> Только проблема будет не в загруженном, а в файле с инклудом.

Так это весь дрюпал и есть.

>include('filename.php.txt')

ССЗБ.

И откуда этот include взялся? Либо ты его сам написал, либо в коде есть уязвимость с include injection - и в этом случае закрывать надо именно include injection, а не как индус лечить симптомы.

"Контейнер не мой, я просто его развернул"

а кто кого друпал так и не рассказали

> кто кого друпал

Я твой дом труба друпал

Никогда такого не было, и вот опять...

Drupal для тех, кто не может вручную сайт написать.

Причём сложность написания своего даже меньше, чем что-то под друпал разрабатывать.

Дрюпал еще жив? Вордпресс почти все завхватил уже, вытеснив остальные ЦМСки.

Кто-то в 2к20 пользуется ещё Друпалом? Таких веб-сайтов меньше половины процента наверное.

https://w3techs.com/technologies/history_overview/content_ma... — два с половиной процента по состоянию на ноябрь 2020. Вместе с WiX делит четвёртое-пятое место, а если рассматривать только CMS — третье. Полпроцента — это гораздо менее популярный TYPO3.

Проблеме подвержены скорее всего конфигурации с
AddType application/x-httpd-php .php

Наиболее же безопасным является
<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>

Нет, проверь и убедись что с .php.txt у тебя получится text/plain
Апач, знаешь ли, писали не настолько альтернативно-одаренные.

Я с вами спорить не буду. В свое время проверял работу и был удивлен результату.
Да и документация про множественные расширения допускает это
http://httpd.apache.org/docs/2.4/mod/mod_mime.html#multipleext

Это уже не addtype, а addhandler. Это, да, минное поле.

Но addhandler используется в реальной жизни примерно никем, а в нереальной - с ооочень редкой экзотикой, причем мертвой уже лет пятнадцать как.

Для php уж точно никем и никогда, это какое-то совсем шизофреническое извращение.

В любом случае, не вижу как такое можно исправить _друпалом_. Очевидно, что проблема исправляемая внутри друпала - она в друпале, а не в апаче.

Ну, друпал часто ставят на васян-хостинги, настроенные копипастой со stackoverflow, потому я могу понять озабоченность.

Но cve это перебор, да.

Все нормально будет с addtype.

А вот если в регулярке забудешь конечный доллар - получится как раз искомое.

Угу, как обычно у белок-истеричек. В борьбе за видимость безопасности - как раз и заменяют надежное дубовое решение - дырявым by design.

Ну смотря, что считатать нормой. Вот мануал по AddType
http://httpd.apache.org/docs/2.4/mod/mod_mime.html#addtype

Друпал еще жив? Я думал еще году в 2010 всё

>Друпал еще жив? Я думал еще году в 2010 всё

Если ты жив значит и Друпал жив.

нормально все. обычная практика обновлять движёк. курирую 4 сайта друпал.

> движёк

Это даже не опечатка, т.к. надо потянуться в угол.

Поколение войнов, андройдов и девчёнок, которое не хочет тратить время на "гуманитарщину".

Держи нас в курсе.

Иэх. Предчувсвую очередную боль у админов старой - работает, не трожь - закалки. Тут же трогать надо, обновлять, тестить...

Думаешь у них дело дойдет до "тестить"? Свлится - будут исправлять, а пока работает - не трогать!

Учитывая что речь о друпале - разумеется, свалится. Или отвалятся модули, или развалится самописная глагна. Когда б оно бывало иначе. Так что чего там тестить - сразу можно идти чинить.

Так что же - вротпресс лучше?

На одном стуле - пики точены,а на другом тоже так себе наборчик.

В целом не вижу поводов для смены платформы, какая бы из двух она не была.

оба в мусорку

Не выдумывайте. В данном случае для D7 патч на 440 строк правит три файла, из которых два файла и 330 строк -- это юнит-тесты, а оставшееся -- переименовыватель foo.php.txt в foo.php_.txt

А главное что в патче есть переменная whitelist несмотря на то что они первые под педиков прогнулись.

Мерзавцы! Как они смеют! Срочно на колени перед неграми, и сосат!

Ты уже прислал им гневный pr? Или опять все самому делать надо?

сделай все сам. встань и с..ни.

Это тебе придется, самому. У моих предков, к сожалению, никогда не было даже одного чорного раба, не защитается.

> к сожалению, никогда не было даже одного чорного раба

Сочувствую... К соседским ходили с..ть?