Безопасность

Вопросы защиты скриптов и системного окружения, объявления о найденных уязвимостях и security-релизах Drupal.
Новости команды безопасности Drupal: drupal.org/security
См. также: bugtrack.ru, securitylab.ru.

icon:

Анти флуд есть?

Аватар пользователя moonman

Как выставить время против флуда?
Т.е. чтобы постить можно было с интервалами во времени?
Например только через 30 секунд?

0 Спасибо

Уязвимость XSS в модуле webform

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-010
* Project: webform
* Date: 2006-Jul-09
* Security risk: critical
* Impact: webform
* Exploitable from: remote
* Vulnerability: multiple cross-site scripting

Подробности: http://drupal.org/node/72846

0 Спасибо

Уязвимость со вставкой заголовков в модуле form_mail

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-009
* Project: form_mail
* Date: 2006-Jul-4
* Security risk: moderately critical
* Impact: security bypass
* Exploitable from: remote
* Vulnerability: mail header injection attack

Подробности: http://drupal.org/node/72177

0 Спасибо

Глупая Dos-атака?

Аватар пользователя Гость

У меня сложилась одна интересная ситация.
Почти каждый день, мой сайт стараются перегрузить большим количеством запросов.
Это конечно не удается, так как у меня хороший хостинг-провайдер, но я нарушаю 5% ограничение на процессорное время, за что провайдер может отключить мой аккаунт.
Я уже заблокировал пользователя через htaccess (пользователь заходил с одного и того же адреса), но вчера он зашел с другого адреса, который принадлежит МТУ.

0 Спасибо

Обрезание вводимого слова по определённому кол-ву символов

Аватар пользователя B.X

Есть ли фильтр для обрезания текста по длине? Например, чтобы разделял подобный текст: "jhbljdghlzghbjklzvbhjzk;hjbl'zhfk'zklzfhd'zhjf'ljhbljdghlzghbjklzvbhjzk;hjbl'zhfk'zklzfhd'zhjf'ljhbljdghlzghbjklzvbhjzk;hjbl'zhfk'zklzf"


Насколько я помню, раньше что-то подобное было, только не могу вспомнить, что именно...

0 Спасибо

Уязвимость XSS в модуле taxonomy

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-008
* Project: Drupal core
* Date: 2006-Jun-01
* Security risk: less critical
* Impact: Drupal core
* Exploitable from: remote
* Vulnerability: cross-site scripting

Подробности: http://drupal.org/node/66767

0 Спасибо

Пересмотр уязвимости DRUPAL-SA-2006-006

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-007
* Project: Drupal core and potentially any web application that accepts uploads.
* Date: 2006-Jun-01
* Security risk: highly critical
* Impact: Drupal core
* Exploitable from: remote
* Vulnerability: Execution of arbitrary files

Подробности: http://drupal.org/node/66763

0 Спасибо

Уязвимость несанкционированного исполнения файлов в некоторых конфигурациях Apache

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-006
* Project: Drupal core
* Date: 2006-May-24
* Security risk: highly critical
* Impact: Drupal core
* Exploitable from: remote
* Vulnerability: Execution of arbitrary files

Подробности: http://drupal.org/node/65409

0 Спасибо

Уязвимость вставки SQL

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-005
* Project: Drupal core
* Date: 2006-May-18
* Security risk: highly critical
* Impact: Drupal core
* Exploitable from: remote
* Vulnerability: SQL injection

Подробности: http://drupal.org/node/65357

0 Спасибо

Уязвимости и обновление до 4.7.1 и 4.6.7

Аватар пользователя vadbars@drupal.org

Пришло два сообщения от Drupal Security Team о найденных в Drupal (в т.ч. 4.7.0 и 4.6.6.) уязвимостях, причем обе — highly critical!

Рекомендуют обновиться до Drupal 4.7.1 или 4.6.7 (http://drupal.org/node/65351) или патчить. Вот ссылки на патчи:

You can also patch Drupal. To patch Drupal 4.6.6 to 4.6.7, use this patch:

[http://drupal.org/files/sa-2006-005/4.6.6.patch]

To patch Drupal 4.7.0 to 4.7.1, use this patch:

0 Спасибо

Уязвимость XSS в модуле project

Аватар пользователя axel

* Project: project module (contributed module)
* Security risk: less critical
* Impact: project module
* Where: from remote
* Vulnerability: malicious HTML execution and XSS attacks

Подробности: http://drupal.org/node/62406

0 Спасибо

Уязвимость: вставка почтовых заголовков

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-004
* Project: Drupal core
* Date: 2006-03-13
* Security risk: moderately critical
* Impact: security bypass
* Where: from remote
* Vulnerability: mail header injection attack

Подробности: http://drupal.org/node/53806

0 Спасибо

Уязвимость фиксации сессии

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-003
* Project: Drupal core
* Date: 2006-03-13
* Security risk: less critical
* Impact: hijacking
* Where: from remote
* Vulnerability: session fixation attack

Подробности: http://drupal.org/node/53805

0 Спасибо

Уязвимость XSS

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-002
* Project: Drupal core
* Date: 2006-03-13
* Security risk: less critical
* Impact: cross-site scripting
* Where: from remote
* Vulnerability: cross-site scripting

Подробности: http://drupal.org/node/53803

0 Спасибо

Уязвимость: обход проверок в модуле menu

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2006-001
* Project: Drupal core
* Date: 2006-03-13
* Security risk: less critical
* Impact: security bypass
* Where: from remote
* Vulnerability: bypass access control

Подробности: http://drupal.org/node/53796

0 Спасибо

Ложная тревога: XSS уязвимости нет

Аватар пользователя axel

На [http://www.securityfocus.com/archive/1/420671/30/0/threaded] была опубликована статья об уязвимости XSS в Drupal, без предварительного контакта с командой безопасности. Данная уязвимость уже закрыта в движке, уведомление о ней запоздало. Если вы апгрейднулись на одну из последних стабильных версий 4.5.4/4.6.4 - вы в безопасности.

0 Спасибо

Уязвимость: обход права доступа "view user profiles"

Аватар пользователя axel

* Advisory ID: DRUPAL-SA-2005-009
* Project: Drupal core
* Date: 2005-11-30
* Security risk: not critical
* Impact: normal
* Where: from remote
* Vulnerability: bypass access control

Подробности: http://drupal.org/node/39356

0 Спасибо

Уязвимость: вставка XSS и HTTP заголовков при закачке файлов

Аватар пользователя axel
  • Advisory ID: DRUPAL-SA-2005-008
  • Project: Drupal core
  • Date: 2005-11-30
  • Security risk: less critical
  • Impact: normal
  • Where: from remote
  • Vulnerability: XSS, HTTP header injection

подробности

0 Спасибо

Определение имени пользователя в локальной сети использующую регест

Аватар пользователя Гость

Привет!
Уже задавл этот вопрос, но так и не решил эту проблему.
Хотелось, что бы в форуме при написании комментария в поле "Ваше имя" подставлялось настоящее имя пользователя а не его ник или анонимус.
Т.к. сайт юзаю в локальной сети с регестрацией в домене, то было бы очень удобно подставлять настоящее имя человека оставлющего комментарий.

С уважением, Гость

0 Спасибо

Косяк в получении нового пороля

Аватар пользователя Гость

Всем привет!
Может так и должно работать, но на мой взгляд это косяк.
Значит проблема такого рода:
К примеру кто либо зарегестрировался под ником Pety. Так вот, что бы мне зайти под его именем надо всего то зайти в поле "Получение нового пароля" написать его ник и свой емайл. И пожалуйста получай пароль по почте и пользуйся его правами.
А то сегодня захожу на свой сайт под админом а там какие то умники пароль мне поменяли. Слава богу отправку паролей не настроил, т.е. пароль они получить не смогли но сменить сменили. Сайт есесно на движке друпал.

0 Спасибо