SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

В Drupal 7 и 8 устранены опасные баги

19 октября 2018 г., пятница, 16:34

В ядре CMS-системы закрыты пять уязвимостей; две из них позволяют удаленно выполнить произвольный код.

В ядре CMS-системы Drupal пропатчены пять уязвимостей; две из них позволяют удаленно выполнить произвольный код. Заплатки включены в состав выпусков 7.60, 8.6.2 и 8.5.8.

Одна из уязвимостей высокой степени опасности проявляется при отправке email-сообщений с использованием дефолтных настроек. Согласно описанию, она возникла из-за плохой очистки переменных от аргументов шелл-скриптов при выполнении функции DefaultMailSystem::mail().

Другая опасная уязвимость крылась в модуле Contextual Links ядра Drupal 8; ее причиной является «неадекватная валидация запрошенных контекстных ссылок». Чтобы воспользоваться этой брешью, автор атаки должен иметь разрешение на доступ к таким ссылкам.

Остальные уязвимости получили оценку «умеренно опасная». Это обход прав доступа с целью модерирования контента, возможность внедрения внешних ссылок (требует наличия особых разрешений) и открытый редирект, который можно использовать анонимно для проведения атак с элементами социальной инженерии. Согласно бюллетеню Drupal, детали последней бреши уже известны широкой общественности.

Разработчики также подчеркнули, что изменения, привнесенные ими для устранения обхода прав модератора, меняют процедуру валидации, поэтому после установки патча обратная совместимость Drupal будет нарушена.

Чтобы избавиться от новых проблем, пользователям Drupal 7.x нужно произвести обновление до сборки 7.60, Drupal 8.6.x — до 8.6.2, Drupal 8.5.x — до 8.5.8. Неподдерживаемые выпуски CMS-системы (ниже 8.5.x) рекомендуется в кратчайшие сроки заменить, установив Drupal 8.5.8. Пользователям также напоминают, что дедлайн на выпуск патчей для ветки 8.5.x не за горами — этот поток иссякнет в мае будущего года.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.086
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.