Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Как оказалось, вышедшие в конце марта заплатки для широкой бреши в ядре Drupal закрывают ее не полностью.
Участники проекта Drupal предупреждают, что завтра, 25 апреля, с 16-00 до 18-00 UTC выйдут внеочередные патчи для Drupal 7.x, 8.4.x и 8.5.x, призванные усилить защиту против эксплойта уязвимости CVE-2018-7600, получившей известность как Drupalgeddon 2. Как оказалось, выпущенные в конце марта заплатки для этой бреши в ядре CMS закрывают ее не полностью.
Поскольку Drupalgeddon 2 — уязвимость чрезвычайно опасная, кураторы проекта, как и в прошлый раз, просят веб-разработчиков «заранее выделить время на обновление ядра в указанный срок, так как эксплойты могут быть созданы в считаные часы или дни».
Проблеме, возникшей из-за несовершенства мартовского патча, присвоен отдельный идентификатор — CVE-2018-7602. Информация о дополнительном исправлении будет опубликована в виде бюллетеня в соответствующем разделе на сайте Drupal.org, в Twitter и посредством email-рассылки на адреса подписчиков.
Платформы Drupal 7 и 8.5.x можно будет обновить в обычном порядке. Администраторам сайтов, использующих Drupal 8.4.x, нужно будет незамедлительно установить сборку 8.4.8 (по ссылке в бюллетене), а затем запланировать переход на 8.5.3 или новее, притом в кратчайшие сроки.
Хотя Drupal 8.4.x официально снята с поддержки, новая заплатка для нее тоже будет выпущена, и ее установка, по словам безопасников, облегчит дальнейший апгрейд. Пользователям Drupal сборок ниже 8.4.x настоятельно рекомендуется подумать о модернизации; возможно, новые патчи на них заработают, однако следует иметь в виду, что устаревшие CMS содержат другие уязвимости, которые уже хорошо известны.
Как сказано в анонсе, патчи для CVE-2018-7602 в Drupal 7.x, 8.4.x, 8.5.x и 8.6.x следует воспринимать как дополнение к мартовскому выпуску. Обновления базы данных новый релиз не потребует.
От себя добавим: команда Drupal публикует подобные предупреждения не зря. Согласно статистике, эту CMS используют более 1 млн сайтов, и быстро пропатчить их в экстренных случаях можно только совместными усилиями всего сообщества.
В прошлый раз реакция злоумышленников на публикацию привлекательной бреши была несколько замедленной — первые атаки начались лишь через две недели после выхода патча. Спустя еще неделю оказалось, что эксплойт CVE-2018-7600 уже загружен на ботнет и поставлен на поток. Не исключено, что на этот раз авторы подобных атак будут действовать быстрее.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |