xandeadx.ru Блог музицирующего веб-девелопера

Drupal → Новая критическая уязвимость в Drupal 6, 7, 8 — SA-CORE-2018-004

Опубликовано в

Сегодня, как и было обещано, вышли свежие версии Drupal 6, 7 и 8 с закрытой критической уязвимостью SA-CORE-2018-004. Уязвимость позволяет выполнять произвольный код на атакуемой системе. Рекомендуется как можно скорее обновить друпал до версий 6.44, 7.59 или 8.5.3 соответственно.

Update
В открытом доступе появился PoC для Drupal 7, позволяющий аутентифицированному пользователю выполнять код. Статус уязвимости переведён с Critical в Highly critical.

Написанное актуально для Drupal 6, Drupal 7, Drupal 8
Похожие записи

Комментарии RSS

Недавно 7.58 была и вроде тоже high critical, а тут опять и уже 7.59, за Drupal серьезно взялись хакеры или это в помощь безопасности системы делается?

Официально нашли и закрыли Security Team, а кто реально нашёл и сообщил неизвестно.

Drupalgeddon 3

Это по сути развитие предыдущей уязвимости. Поэтому правильней называть ее Drupalgeddon 2.1. Текущий эксплоит подразумевает наличие доступа к форме подтверждения удаления ноды, поэтому для 99% сайтов он не опасен. До звания Друпалгеддона эта уязвимость пока не дотягивает, по крайней мере если не появится какой-нибудь другой, более серьёзный PoC.

Что-то нифига, в 7.59 не исправили эту уязвимость, обновляю ядро, обновляю все модули, вычищаю все aibolit'ом пароли меня, через сутки двое опять появляются. Есть информация о решении, а то прямо какой-то трэш.

Оставить комментарий

Содержимое этого поля является приватным и не будет отображаться публично. Если у вас есть аккаунт в Gravatar, привязанный к этому e-mail адресу, то он будет использован для отображения аватара.
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <i> <b> <strong> <code> <ul> <ol> <li> <blockquote> <em> <s>
  • Строки и параграфы переносятся автоматически.
  • Подсветка кода осуществляется с помощью тегов: <code>, <css>, <html>, <ini>, <javascript>, <sql>, <php>. Поддерживаемые стили выделения кода: <foo>, [foo].

Подробнее о форматировании