SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

В Drupal залатали баг удаленного выполнения кода

22 февраля 2019 г., пятница, 14:02

Эксплуатация уязвимости возможна при включенной веб-службе RESTful Web Services, Services 3.x или JSON:API.

Разработчики Drupal сообщили об опасной уязвимости ядра, затрагивающей 7-ю и 8-ю версии CMS. Брешь дает возможность злоумышленнику удаленно выполнить любой PHP-код и перехватить управление сайтом. Создатели CMS оценили баг как в высшей степени критичный и призвали веб-администраторов как можно скорее установить обновления системы.

Проблема связана с неправильной обработкой данных, передаваемых на сайт посредством запросов PUT, PATCH или POST. Встроенные модули Drupal или расширения сторонних авторов могут неверно интерпретировать содержащиеся в них сведения, что дает злоумышленнику возможность передать на сервер свои команды. Как отмечают разработчики, баг найден в компоненте движка RESTful Web Services, подсистеме Services 3.x и программном интерфейсе JSON:API.

Уязвимость CVE-2019-6340 присутствует во всех версиях Drupal 8 до релиза 8.5.11 или 8.6.10. Ядро CMS версии 7 не затронуто проблемой, однако веб-администраторам рекомендуется проверить сторонние модули, установленные на их сайтах, на предмет работы с движком Services 3.x, интегрированным в ядро системы

Разработчики выпустили обновления для Drupal линеек 8.5.x и 8.6.x. Более ранние ветки Drupal 8 уже не поддерживаются, создание патчей для них не планируется. Для снижения вероятности атаки владельцам уязвимых сайтов рекомендуется отключить все модули для работы с веб-сервисами или запретить использование на веб-ресурсе запросов формата PUT, PATCH и POST.

Чуть более месяца назад в Drupal залатали две критические уязвимости, связанные с появлением в CMS функции обработки исполняемых PHP-архивов. В одном случае проблема была найдена во встроенном интерпретаторе объектов вида .phar, а другую ошибку обнаружили в сторонней библиотеке PEAR Archive_Tar. При определенных условиях баги можно было использовать для удаленного выполнения в системе вредоносного кода и несанкционированных операций с файлами.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.083
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.