Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon: 

axel Сб, 27/05/2006 - 07:49

Уязвимость несанкционированного исполнения файлов в некоторых конфигурациях Apache

* Advisory ID: DRUPAL-SA-2006-006
* Project: Drupal core
* Date: 2006-May-24
* Security risk: highly critical
* Impact: Drupal core
* Exploitable from: remote
* Vulnerability: Execution of arbitrary files

Подробности: http://drupal.org/node/65409

Ключевые слова: 
Версия Drupal: 
0 Спасибо

axel Сб, 27/05/2006 - 07:47

Уязвимость вставки SQL

* Advisory ID: DRUPAL-SA-2006-005
* Project: Drupal core
* Date: 2006-May-18
* Security risk: highly critical
* Impact: Drupal core
* Exploitable from: remote
* Vulnerability: SQL injection

Подробности: http://drupal.org/node/65357

Ключевые слова: 
Версия Drupal: 
0 Спасибо

vadbars@drupal.org Чт, 25/05/2006 - 04:53

Уязвимости и обновление до 4.7.1 и 4.6.7

Пришло два сообщения от Drupal Security Team о найденных в Drupal (в т.ч. 4.7.0 и 4.6.6.) уязвимостях, причем обе — highly critical!

Рекомендуют обновиться до Drupal 4.7.1 или 4.6.7 (http://drupal.org/node/65351) или патчить. Вот ссылки на патчи:

You can also patch Drupal. To patch Drupal 4.6.6 to 4.6.7, use this patch:

[http://drupal.org/files/sa-2006-005/4.6.6.patch]

To patch Drupal 4.7.0 to 4.7.1, use this patch:

Версия Drupal: 
0 Спасибо

axel Чт, 11/05/2006 - 08:40

Уязвимость XSS в модуле project

* Project: project module (contributed module)
* Security risk: less critical
* Impact: project module
* Where: from remote
* Vulnerability: malicious HTML execution and XSS attacks

Подробности: http://drupal.org/node/62406

Ключевые слова: 
Версия Drupal: 
0 Спасибо

axel Вс, 15/01/2006 - 23:07

Уязвимость: вставка почтовых заголовков

* Advisory ID: DRUPAL-SA-2006-004
* Project: Drupal core
* Date: 2006-03-13
* Security risk: moderately critical
* Impact: security bypass
* Where: from remote
* Vulnerability: mail header injection attack

Подробности: http://drupal.org/node/53806

Версия Drupal: 
0 Спасибо

axel Вс, 15/01/2006 - 23:03

Уязвимость фиксации сессии

* Advisory ID: DRUPAL-SA-2006-003
* Project: Drupal core
* Date: 2006-03-13
* Security risk: less critical
* Impact: hijacking
* Where: from remote
* Vulnerability: session fixation attack

Подробности: http://drupal.org/node/53805

Версия Drupal: 
0 Спасибо

axel Вс, 15/01/2006 - 23:01

Уязвимость XSS

* Advisory ID: DRUPAL-SA-2006-002
* Project: Drupal core
* Date: 2006-03-13
* Security risk: less critical
* Impact: cross-site scripting
* Where: from remote
* Vulnerability: cross-site scripting

Подробности: http://drupal.org/node/53803

Версия Drupal: 
0 Спасибо

axel Вс, 15/01/2006 - 22:52

Уязвимость: обход проверок в модуле menu

* Advisory ID: DRUPAL-SA-2006-001
* Project: Drupal core
* Date: 2006-03-13
* Security risk: less critical
* Impact: security bypass
* Where: from remote
* Vulnerability: bypass access control

Подробности: http://drupal.org/node/53796

Версия Drupal: 
0 Спасибо

axel Ср, 04/01/2006 - 22:33

Ложная тревога: XSS уязвимости нет

На [http://www.securityfocus.com/archive/1/420671/30/0/threaded] была опубликована статья об уязвимости XSS в Drupal, без предварительного контакта с командой безопасности. Данная уязвимость уже закрыта в движке, уведомление о ней запоздало. Если вы апгрейднулись на одну из последних стабильных версий 4.5.4/4.6.4 - вы в безопасности.

0 Спасибо

axel Пт, 02/12/2005 - 22:26

Уязвимость: обход права доступа "view user profiles"

* Advisory ID: DRUPAL-SA-2005-009
* Project: Drupal core
* Date: 2005-11-30
* Security risk: not critical
* Impact: normal
* Where: from remote
* Vulnerability: bypass access control

Подробности: http://drupal.org/node/39356

Версия Drupal: 
0 Спасибо

axel Чт, 01/12/2005 - 19:00

Уязвимость: вставка XSS и HTTP заголовков при закачке файлов

  • Advisory ID: DRUPAL-SA-2005-008
  • Project: Drupal core
  • Date: 2005-11-30
  • Security risk: less critical
  • Impact: normal
  • Where: from remote
  • Vulnerability: XSS, HTTP header injection

подробности

Ключевые слова: 
Версия Drupal: 
0 Спасибо

Гость (не проверено) Втр, 13/09/2005 - 04:10

Определение имени пользователя в локальной сети использующую регест

Привет!
Уже задавл этот вопрос, но так и не решил эту проблему.
Хотелось, что бы в форуме при написании комментария в поле "Ваше имя" подставлялось настоящее имя пользователя а не его ник или анонимус.
Т.к. сайт юзаю в локальной сети с регестрацией в домене, то было бы очень удобно подставлять настоящее имя человека оставлющего комментарий.

С уважением, Гость

0 Спасибо

Гость (не проверено) Пнд, 12/09/2005 - 08:26

[Решен] Косяк в получении нового пороля

Всем привет!
Может так и должно работать, но на мой взгляд это косяк.
Значит проблема такого рода:
К примеру кто либо зарегестрировался под ником Pety. Так вот, что бы мне зайти под его именем надо всего то зайти в поле "Получение нового пароля" написать его ник и свой емайл. И пожалуйста получай пароль по почте и пользуйся его правами.
А то сегодня захожу на свой сайт под админом а там какие то умники пароль мне поменяли. Слава богу отправку паролей не настроил, т.е. пароль они получить не смогли но сменить сменили. Сайт есесно на движке друпал.

0 Спасибо

axel Вс, 11/09/2005 - 09:17

Дефейсинг drupal.ru и roleplay.ru - последний привет от Postnuke

Сегодня с утра до полудня оба сайта показывали вместо заглавных страниц текст "Trustix - Trustix@hackermail.com". Файлы были возвращены на место, а я мысленно передав пламенный привет санитарам интернета озадачился способом взлома. По статистике последних уязвимостей первой под подозрение попала библиотека xmlrpc, однако на drupal.ru известные на сегодня ошибки в ней закрыты, на roleplay.ru - файлы вовсе удалены. Анализ логов несколько прояснил ситуацию.

Ключевые слова: 
0 Спасибо

axel Пнд, 15/08/2005 - 09:31

Новые security-релизы Drupal - 4.5.5 и 4.6.3

Ещё одна уязвимость была найдена в библиотеке XML-RPC, которая используется в Drupal. Подробности: http://drupal.org/files/sa-2005-004/advisory.txt

Выпущены релизы исправляющие эту ошибку:

* http://drupal.org/files/projects/drupal-4.6.3.tar.gz
* http://drupal.org/files/projects/drupal-4.5.5.tar.gz

Ключевые слова: 
Версия Drupal: 
0 Спасибо

Nick Чт, 30/06/2005 - 12:20

Drupal 4.6.2 / 4.5.4 released

Это очередные bugfix релизы.
Внимание! Исправлено 2 ошибки безопасности! Одна связана с системой фильтров, другая -- с XML-RPC библиотекой.

Никаких новых возможностей не добавлено.

Загрузить:
- Drupal 4.6.2 [453КБ]
- Drupal 4.5.4 [461КБ]

Чтобы исправить ошибки Вы можете: обновить Друпал (1) или применить патчи (2)

Ключевые слова: 
Taxonomy upgrade extras: 
Версия Drupal: 
0 Спасибо

pash Пнд, 20/06/2005 - 07:14

межсайтовый скриптинг (XSS) в друпале

Получил отчет системы мониторинга информационной безопасности XSpider 7...

(cм. html-док в аттаче т.к. сюда копирнуть не получается - не постится =(((

собсна говоря что делать то, вроде последний секьюрити-патч установлен? насколько я понимаю - дырка в модуле user?

Ключевые слова: 
Версия Drupal: 
0 Спасибо

Гость (не проверено) Ср, 11/05/2005 - 12:22

[Решен] Помогите плз разобраться с правами...

Привет, всем!
Поделитесь, плз, ПРАВИЛЬНЫМИ в смысле безопасности настройками прав доступа и владельцев для папки загрузки файлов /files? А то на полный доступ для всех ставить не хочется, а с урезанными правами загрузка не получается.
ОС - FreeBSD, PHP5, Apache2. Drupal установлен в /public_html.
С уважением
Silence

Ключевые слова: 
Версия Drupal: 
0 Спасибо

Страницы