Уязвимости в Drupal

24.10.2018 10:44

В системе управления контентом Drupal выявлены две критические уязвимости, позволяющие выполнить код на сервере. Проблемы устранены в выпусках Drupal 7.60, 8.5.8 и 8.6.2.

Первая уязвимость затрагивает Drupal 7 и Drupal 8 и связана с отсутствием должного экранирования спецсимволов в функции DefaultMailSystem::mail(). При отправке сообщения на email не все переменные проверяются, что позволяет передать утилите sendmail произвольные аргументы командной строки и инициировать выполнение своего кода.

Вторая уязвимость присутствует только в Drupal 8 и вызвана отсутствием необходимой чистки контекстных ссылок в модуле Contextual Links. Через передачу специально оформленной контекстной ссылки атакующий может добиться выполнения своего кода в системе. Для атаки необходим доступ с правами, разрешающими работу с контекстными ссылками.

Кроме того, в новых выпусках также устранены три уязвимости, отнесённые к категории "Moderately critical": ошибка проверки доступа в системе модерировния контента, возможность проброса на сторонний URL в системе внутренних коротких ссылок и возможность перенаправления на сторонний сайт после совершения определённых действий на странице.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49488-drupal

Ключевые слова: drupal

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (48)

1.1, Аноним (1), 10:53, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
С пробуждением. Уже неделю как все обновились

1.2, КГБ СССР (?), 10:59, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> и связана с отсутствием должного экранирования спецсимволов в функции Интересно, как при таком уровне профессионализма они пишут всё остальное.

2.5, уебмакак (?), 11:45, 24/10/2018 [^] [^^] [^^^] [ответить]	+4 +/–
> Интересно, как при таком уровне профессионализма они пишут всё остальное. быстро, очень-очень быстро пишем!

3.8, КГБ СССР (?), 12:23, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
>> Интересно, как при таком уровне профессионализма они пишут всё остальное. > быстро, очень-очень быстро пишем! Ай нанэ нанэ!

2.47, Гентушник (ok), 09:49, 25/10/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Так же как и разработчики ядра пишут код приводящий затем к переполнению буфера.

1.3, Аноним (3), 11:11, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Осасные уязвимости Исправьте в соц сетях)

2.9, blzz (?), 12:27, 24/10/2018 [^] [^^] [^^^] [ответить]	+3 +/–
сесурити в осасноти!

1.4, Аноним (4), 11:26, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Может уже пора переименовать Drupal в Уязвимость?

2.28, A (?), 16:02, 24/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Просто читайте как "Дрюпаль" :)

3.35, .. (?), 21:04, 24/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
вздрюпаль тогда нас вздрюпали! - и всем всё ясно, ёмкая фраза получается

1.6, InuYasha (?), 11:55, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз Drupal, Joomla, Wordpress, DragonflyCMS...

2.7, гг (?), 12:04, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
пилить? или накидать кала, авось и так сойдет

2.10, нах (?), 12:28, 24/10/2018 [^] [^^] [^^^] [ответить]

+2 +/–

> А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз
> Drupal, Joomla, Wordpress, DragonflyCMS...

а зачем вообще что-то пилить? Сайты немодно, их скоро вообще гугл запретит, перестав открывать что-то кроме самого себя, так что пилите блох в свитере, кАнал в телеграсте и что там еще - а, акаунт в хипстаграме.

сайт-визитку со ссылками на все это - ну, в гуглосайтах сделайте, там готовый шаблон.

3.13, Аноним (-), 13:02, 24/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
Проблема капли неповоротливый комитет который занимается обсуждалками, написаниями всяких правил в духе уважать геев - ничего хорошего из результата такой деятельности не получится.

3.21, Попугай Кеша (?), 14:03, 24/10/2018 [^] [^^] [^^^] [ответить]

+2 +/–

Вот вы смеетесь, а ведь так и будет.

Сетевой нейтралитет отменяетяс
HTTPS теперь везде, мартышкам сложнее сделать сайт без него
Да и сайт? Зачем? Сложно же. Проще паблик в ВК запилить или в FB. Для фоточек - инстаграм.

А сайт-то зачем? Да забудьте! Будьте современным ;)

4.37, Sw00p aka Jerom (?), 21:19, 24/10/2018 [^] [^^] [^^^] [ответить]	–2 +/–
согласен, давно пора избавится от всего ввв, мейла и всякой хрени напридуманной 50 лет назад

3.29, шухер (?), 16:03, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
>> в хипстаграме В вконтаграме.

2.11, КГБ СССР (?), 12:37, 24/10/2018 [^] [^^] [^^^] [ответить]	–1 +/–
> А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз > Drupal, Joomla, Wordpress, DragonflyCMS... На HTML 4.01 или XTML 1.0/1.1 при поддержке CSS 2. Поверь, результат бесконечно обрадует тебя и посетителей твоего сайта.

2.15, Аноним (15), 13:21, 24/10/2018 [^] [^^] [^^^] [ответить]	+2 +/–
На /cgi-bin/

3.17, КГБ СССР (?), 13:35, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
> На /cgi-bin/ Боюсь, тут мало тех, кто знает (помнит) эти слова. :)

4.38, Sw00p aka Jerom (?), 21:20, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
hell-world.exe ))))))

5.39, Sw00p aka Jerom (?), 21:21, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
о - не допечатал

6.46, pull request (?), 23:09, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
даже лучше получилось

7.50, КГБ СССР (?), 11:47, 25/10/2018 [^] [^^] [^^^] [ответить]	+/–
> даже лучше получилось Точно.

5.51, КГБ СССР (?), 11:47, 25/10/2018 [^] [^^] [^^^] [ответить]	+/–
> hell-world.exe )))))) Не в бровь, а в глаз!

2.16, InuYasha (?), 13:31, 24/10/2018 [^] [^^] [^^^] [ответить]

+/–

Уточняю: есть /var/www/ и радость установки LAMP.
Раньше у меня был сайт на postnuke-подобном движке, пока его не забросили и всё время не стало уходить на дырозатыкание. Пришлось закрыть. Всякие облака-белогривые-гуглошадки даже не рассматриваю. Всё своё должно быть своим.

Сейчас, как я понял, модно - фреймворки, фронтенды...

Но хотелось бы классический "портал" - на нормальном HTML с CSS, без JS. Чтобы были темы (шаблоны) по выбору юзеров, блоки, новости, галерея, ...

3.19, vitalif (ok), 13:56, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
Пилить - на голом языке, без cms. В принципе на любом, хоть на том же пыхе. Просто следовать простым правилам безопасности а-ля OWASP и будет все норм. Набросать сайтик непрограммисту / "сайт салона красоты" или еще какую то мелочь - wordpress, просто анально ограничить его на сервере путем помещения в докер + запрета выполнения в папках загрузок + ручного перечисления нужных entry point'ов + https + basic auth на всю админку сразу. Норм, и волки сыты, и овцы целы

4.22, Попугай Кеша (?), 14:04, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
Для сайта салона красоты не нужна CMS. Проще посадить заказчика на облако а-ля PAAS и сделать фронтенд на чем угодно. Вам только нужен генератор статических сайтов + верстальщик с руками и дизайнер с головой.

5.26, vitalif (ok), 14:46, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
Вот именно, что нужен верстальщик с головой А если есть в наличии только владелец салона красоты?))

6.32, Ирокез (?), 17:45, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
Нанять верстальщика за вменяемое вознаграждение. Когда пытаются обойтись своими силами получается примерно вот так: www.amur.info (чтобы почувствовать ВСЮ боль отключите адблок)

7.45, пох (?), 22:55, 24/10/2018 [^] [^^] [^^^] [ответить]

+/–

вчера Через Благовещенскую таможню пытались провезти майнеры для криптовалют
вчера Благовещенец выплатил 300 000 рублей алиментов, чтобы не лишиться водительских прав
вчера Благовещенец украл из закрытой машины почти два миллиона рублей
(вот где он взял 300000)
вчера Полиция Приморья предлагает 400 тысяч за информацию о разыскиваемом
(что-то я не понял, где тут профит- он же им должен был 300)

интересно живут люди в Благовещенске, да и сайт в общем почти нормальный (адблока нет, есть noscript, удивительно, но факт - этот сайт без js вполне работает)

а, ну так что вы хотите-то: Житель города Нерюнгри, ехавший в поезде Нерюнгри – Хабаровск, вез в банке с вареньем почти 19 граммов гaшишного масла.

в тынде менты поганые, соглашусь.

(и тутошний скрипт не лучше)

3.33, Аноним (33), 19:45, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
Будь брутален, как звездец, сделай свой блог на https://jekyllrb.com/. Пиши посты в vim'е и коммить в гит!

3.41, пох (?), 22:40, 24/10/2018 [^] [^^] [^^^] [ответить]

+2 +/–

> Чтобы были темы (шаблоны) по выбору юзеров, блоки, новости, галерея, ...

ну лет за стописят допилишь - хоть на "cgi-bin", хоть на чем.

и да, не забудь прекрасный jquery-file-upload, потому что никакими силами кроме аякса невозможно нарисовать прогресс-бар при заливе картинок в эту самую галерею - а браузеры таковым штатно почему-то не оборудованы. Успехов тебе использовать его без js.

и да, в отличие от ненужнопищалкоперделок - это - нормальная забота о пользователе, которому нужно понимание- это вот оно просто так висит, или "ага, уже больше половины закачалось, щас покажется".

2.27, Michael Shigorin (ok), 15:11, 24/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
TYPO3 ещё, но оно не для визиток. Есть хорошо зарекомендовавшие себя старые знакомые в ttlab.

2.31, имя (?), 16:28, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
Jekyll или какой статический генератор сайтов вместо него нынче в моде. Комменты вы всё равно отключите с первым наездом РКН на очередного распространителя немодерируемой информации.

3.42, пох (?), 22:45, 24/10/2018 [^] [^^] [^^^] [ответить]

+1 +/–

> с первым наездом РКН

ага, щас:

pay for essay writing a href(опять он не смог в bbcode)
cialis prezzo [а этот смог, жаль что в комментах ссылки не показываются]- viagra without a doctor canadian pharmacy

роспозору - совершенно пофиг (хотя тут прямо вот уголовный кодекс. Но не применяемый на практике).

а вот твоим пользователям нифига не пофиг, и либо они уйдут с твоего сайта очень быстро, либо придется озадачиться тем, чтобы "немодерируемая информация" быстренько пополняла /dev/null

2.34, Аноним (34), 20:18, 24/10/2018 [^] [^^] [^^^] [ответить]

–1 +/–

На чём-то, что не написано на PHP/Perl.

Прекрасно подойдут продукты на Python/RoR.

// b.

1.14, Отсутствуют данные в поле Name (?), 13:20, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Зобейте ... зобейте на все похапешное, я вас как человеков прошу ... (помирает)

1.18, vitalif (ok), 13:51, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Мне интересно, когда-то вообще могут ЗАКОНЧИТЬСЯ дыры в вордпрессе, друпале и прочих какаCMS? Или там задел на ближайшие 100 лет?

2.20, КГБ СССР (?), 13:57, 24/10/2018 [^] [^^] [^^^] [ответить]	+1 +/–
> Мне интересно, когда-то вообще могут ЗАКОНЧИТЬСЯ дыры в вордпрессе, друпале и прочих > какаCMS? Или там задел на ближайшие 100 лет? Никогда. Точнее, пока не прекратится вот это: https://www.opennet.ru/openforum/vsluhforumID3/115644.html

3.23, Попугай Кеша (?), 14:04, 24/10/2018 [^] [^^] [^^^] [ответить]	–5 +/–
При чем тут вообще нода?

4.30, КГБ СССР (?), 16:25, 24/10/2018 [^] [^^] [^^^] [ответить]	+4 +/–
> При чем тут вообще нода? Купи себе для начала мозг.

5.48, Попугай Кеша (?), 10:16, 25/10/2018 [^] [^^] [^^^] [ответить]	+/–
У меня он уже есть. А вот у тебя его нет! А-ха-ха-ха-ха!

6.49, КГБ СССР (?), 11:46, 25/10/2018 [^] [^^] [^^^] [ответить]	+/–
Какая смешная шутка! Заливисто смеюсь! Петросян тобой бы гордился, анон.

7.52, Попугай Кеша (?), 12:22, 26/10/2018 [^] [^^] [^^^] [ответить]	+/–
> Какая смешная шутка! Заливисто смеюсь! Петросян тобой бы гордился, анон. Молодец. Возьми с полки пирожок

1.40, Аноним (40), 22:13, 24/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
На хабре писали, что на волне sjw-хайпа хотели выгнать из друпала одного из ведущих разрабов за BDSM. И вот последствия

2.43, пох (?), 22:47, 24/10/2018 [^] [^^] [^^^] [ответить]	+/–
в смысле, теперь твои пользователи не могут устроить тебе сеанс bdsm, и ты по этому поводу плачешь? Баг-то исправлен, а не наоборот - и судя по набору версий, существовал он еще во времена спокойно жизни bdsm'щика.

1.53, Аноним (53), 07:06, 29/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>> Пилить - на голом языке, без cms. Посмеялся.. И пусть весь мир подождет(с)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: