Критическая уязвимость 7.x, 8.x

Втр, 11/10/2016 - 06:47

zero-day
При определенной конфигурации, уязвимость позволяет анонимам или недоверительным пользователям загружать файлы в публичную файловую систему, что позволяет злоумышленникам использовать ваш сайт как файлообменник.

Больше всего такой баг репортовали с отсылкой на модуль  webform.

Исправление

Исправление этой уязвимости не требует обновления. Достаточно выполнить несколько шагов.

  • Настройте поля, через которые анонимы и недоверительные пользователи могут закачивать файлы на сайт, на приватную файловую систему.
  • Удостоверьтесь, что крон работает нормально. О настройке крона для Drupal 7 (англ) и Drupal 8 (англ).
  • Рассмотрите вариант с принуждением пользователя на создание учетной записи, перед загрузкой файла.
  • Удостоверьтесь, что вы храните валидные (нет посторонних) файлы в своей публичной файловой системе.

Источник Drupal file upload by anonymous or untrusted users into public file systems -- PSA-2016-003 (англ.)

5 Спасибо

Комментарии

Аватар пользователя Studio VIZA
10 months 1 неделя назад Studio VIZA #

Спасибо Максим. В закладки.

0 Спасибо
Аватар пользователя mbaev
10 months 1 неделя назад mbaev #

Всегда пожалуйста!

0 Спасибо
Аватар пользователя sergeybelya
10 months 1 неделя назад sergeybelya #

Да, в последнее время у друпал проблемы с безопасностью, такие новости практически каждую неделю.

0 Спасибо
Аватар пользователя mbaev
10 months 1 неделя назад mbaev #

За этот год было всего четыре уязвимости в ядре, две из которых относятся только к 8-ой версии.
https://www.drupal.org/security

Также было всего 3 psa, которые, строго говоря, не относятся к самому ядру Drupal.
https://www.drupal.org/security/psa

Как говорится, систем без дыр не бывает. Бывает плохо ищут. Так, что в Drupal'e все норм с безопасностью, я считаю. Ищут, находят, исправляют.

0 Спасибо
Аватар пользователя sergeybelya
10 months 1 неделя назад sergeybelya #

ну это не так мало на самом деле. То что находят - хорошо, но кстати непонятно - собираются ли они фиксить эту последнюю? Во всех проектах перенастраивать файловую систему как-то не вариант.

0 Спасибо
Аватар пользователя mbaev
10 months 1 неделя назад mbaev #

Здесь нечего фиксить, они говорят о том, что если ты позволил анонимам загружать файлы, то будь готов, что твой сервис будут использовать как файлообменник.
Они нашли уязвимость в, такого вида, бизнесс-логике. Это также имеет отношение к любой другой системе.

1 Спасибо
Аватар пользователя sergeybelya
10 months 1 неделя назад sergeybelya #

Я так понял, там же речь не только об анонимах?

0 Спасибо
Аватар пользователя mbaev
10 months 1 неделя назад mbaev #

Да, но зарегистрированных, в случае чего, можно дропнуть со всеми их материалами и файлами.

0 Спасибо