Множественные уязвимости в contib модулях Drupal 7.x

Главные вкладки

Аватар пользователя gor gor 12 июля 2016 в 22:40
4

Команда безопасности выпустила уведомление DRUPAL-PSA-2016-001.

Это предупреждение о том, что завтра в 16:00 по UTC времени (19:00 по Московсокму времени) будет уведомление о уязвимостях вызова PHP кода в contrib модулях.

Судя по тому, что модули, на которые намекают, установлены на 1,000 до 10,000 сайтах, модули не очень популярные.

Рекомендуем завтра по получению уведомления проверить свои сайты и если необходимо - обновится.

Комментарии

Аватар пользователя Studio VIZA Studio VIZA 12 июля 2016 в 23:10

Пора МЧС организовывать, десять тыщ критических погасить это не хухры мухры. Купил вскладчину самолёт и будем вылетать на пожары. За пойманного хакера - Cessna 510 Mustang

Аватар пользователя gun_dose gun_dose 12 июля 2016 в 23:40

В инете ролно инфы об уязвимостях всяких джумл, вордпрессов и прочих опенкартов, но мы не знаем о них по двум причинам - во-первых, мы этим не интересуемся, во-вторых, на многих движках вообще в корне не предусмотрена возможность автоматического обновления - лезь в код и руками правь, если бы они трубили о таких уязвимостях во всеуслышание, все бы мигом соскочили с их движков

Аватар пользователя sergeybelya sergeybelya 13 июля 2016 в 0:07

Забыл, что на этом форуме нельзя критиковать друпал:) сразу налетят его апологеты и с пеной у рта будут доказывать, какая это надежная система.
Если вы не интересуетесь другими системами, то не можете и сравнивать, разве не так? Кстати, автоматического обновления ядра в Друпале нет, однако давно есть в ВП, что очень удобно.

Аватар пользователя gor gor 13 июля 2016 в 0:26

Сейчас идут разговоры сделать такую систему для BackdropCMS - чтоб без обновления версии ядра - накатывала патчи на уязвимость.

Это позволит без обновления ядра получать обновления. Ну и если делаешь обновление на последнюю версию - то уже все пофиксено.

Аватар пользователя gun_dose gun_dose 13 июля 2016 в 0:31

Есть же drush up. А что касается критики, то к ней тут вполне нормально относятся, просто её обсуждают, что вполне обоснованно, ведь для того и придумали форумы.

Аватар пользователя Van'Denis Van'Denis 13 июля 2016 в 21:04

bumble wrote:

Пока что, статус чистый (проверил на нескольких проектах).

Жить можно )))


Проверил..
Статус - чисто всё.

З.Ы.. Спасибо за информацию. Буду наблюдать.

Аватар пользователя negociant negociant 13 июля 2016 в 21:03

bumble wrote:

Пока что, статус чистый (проверил на нескольких проектах).

Жить можно )))


DenMas wrote:

Проверил..

Статус - чисто всё.


гадание на кофейной гуще - дело неблагодарное, читайте @drupalsecurity

Аватар пользователя Studio VIZA Studio VIZA 13 июля 2016 в 21:26

Drupal Security ‏@drupalsecurity 2 ч.2 часа назад
Webform Multiple File Upload - Critical - Remote Code Execution - SA-CONTRIB-2016-038 http://ow.ly/Sxfa502mXpt
15 ретвитов 4 отметки «Нравится»
Ответить Ретвитнуть 15
Мне нравится 4
Еще
Drupal Security ‏@drupalsecurity 2 ч.2 часа назад
Coder - Highly Critical - Remote Code Execution - SA-CONTRIB-2016-039 http://ow.ly/Tm3M502mXps
16 ретвитов 3 отметки «Нравится»
Ответить Ретвитнуть 16
Мне нравится 3
Еще
Drupal Security ‏@drupalsecurity 2 ч.2 часа назад
RESTWS - Highly critical - Remote code execution - SA-CONTRIB-2016-040 http://ow.ly/svzX502mXpr
16 ретвитов 3 отметки «Нравится»
Ответить Ретвитнуть 16
Мне нравится 3
Еще
Drupal Security ‏@drupalsecurity 2 ч.2 часа назад
The drupal security team has released all critical issues for today. Update if you are using one of the affected modules.
51 ретвит 26 отметок «Нравится»
Ответить Ретвитнуть 51
Мне нравится 26
Еще
Drupal Security ‏@drupalsecurity 2 ч.2 часа назад
Highly Critical RCE contrib SA's: http://ow.ly/bUHe302d4aZ & http://ow.ly/fm6e302d4dD & http://ow.ly/dV8Z302d4fw If you use one, update now
178 ретвитов 41 отметка «Нравится»
Ответить Ретвитнуть 178
Мне нравится 41
Еще
Drupal Security ‏@drupalsecurity 12 июл.
Highly critical contrib module updates will be released tomorrow. Please read https://www.drupal.org/psa-2016-001 #drupal #security
325 ретвитов 94 отметки «Нравится»
Ответить Ретвитнуть 325
Мне нравится 94
Еще
Drupal Security ‏@drupalsecurity 6 июл.
Instagram Block - Moderately Critical - Information Disclosure - SA-CONTRIB-2016-037 http://ow.ly/qM0c5028o8m
3 ретвитов 1 отметка «Нравится»
Ответить Ретвитнуть 3
Мне нравится 1
Еще
Drupal Security ‏@drupalsecurity 2 июл.
Our email security@drupal.org is working, we should have not lost any email, but if you to be #secure, send again
2 ретвитов 3 отметки «Нравится»
Ответить Ретвитнуть 2
Мне нравится 3
Еще
Drupal Security ‏@drupalsecurity 1 июл.
Our email address security@drupal.org is not working at the moment. If you need to get ahold of us short term, use https://www.drupal.org/user/406161/contact
4 ретвитов 2 отметки «Нравится»
Ответить Ретвитнуть 4
Мне нравится 2
Еще
Drupal Security ‏@drupalsecurity 15 июн. Показать перевод
Views - Less Critical - Access Bypass - SA-CONTRIB-2016-036 http://ow.ly/uNEX501q4Ar
24 ретвитов 3 отметки «Нравится»
Ответить Ретвитнуть 24
Мне нравится 3
Еще
Drupal Security ‏@drupalsecurity 15 июн.
Security release: Drupal 8.1.3 and 7.44 https://www.drupal.org/blog/drupal-8-1-3-and-7-44
69 ретвитов 20 отметок «Нравится»
Ответить Ретвитнуть 69
Мне нравится 20
Еще
Drupal Security ‏@drupalsecurity 15 июн.
There will be a core release today, we are running a tad late.
13 ретвитов 5 отметок «Нравится»
Ответить Ретвитнуть 13
Мне нравится 5
Еще
Drupal Security ‏@drupalsecurity 8 июн.
Page Manager Search - Moderately Critical - Information disclosure - SA-CONTRIB-2016-032 http://ow.ly/6e4Z501aE2p
2 ретвитов 0 отметок «Нравится»
Ответить Ретвитнуть 2
Мне нравится
Еще
Drupal Security ‏@drupalsecurity 8 июн.
REST JSON - Multiple Vulnerabilities - Highly Critical - Unsupported - SA-CONTRIB-2016-033 http://ow.ly/M5oN501aE2q
3 ретвитов 0 отметок «Нравится»
Ответить Ретвитнуть 3
Мне нравится
Еще
Drupal Security ‏@drupalsecurity 8 июн.
Outline Designer - Moderately Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2016-035 http://ow.ly/NF8X501aE2n
1 ретвит 0 отметок «Нравится»
Ответить Ретвитнуть 1
Мне нравится
Еще
Drupal Security ‏@drupalsecurity 8 июн.
Node Embed - Denial of Service - Less critical - SA-CONTRIB-2016-034 http://ow.ly/snWy501aE2o
1 ретвит 0 отметок «Нравится»
Ответить Ретвитнуть 1
Мне нравится
Еще
Drupal Security ‏@drupalsecurity 1 июн.
Opening hours - Moderately Critical - XSS - SA-CONTRIB-2016-031 http://ow.ly/egJj500UWRZ
1 ретвит 0 отметок «Нравится»
Ответить Ретвитнуть 1
Мне нравится
Еще
Drupal Security ‏@drupalsecurity 25 мая
XML Sitemap - Moderately Critical - XSS - SA-CONTRIB-2016-030 http://ow.ly/TNNc500FTIm
9 ретвитов 1 отметка «Нравится»
Ответить Ретвитнуть 9
Мне нравится 1
Еще

Аватар пользователя Studio VIZA Studio VIZA 14 июля 2016 в 0:39

gun_dose wrote:

У вас тут половина за прошлый месяц

Мне хотелось значимый коммент закопипастить. Чтоб новички в обморок упали. А щас что чистить незнаю, первый вычистил..

Аватар пользователя zip_kon zip_kon 22 августа 2016 в 21:59

Новый троянец получил наименование Linux.Rex.1. Пользователи форума Kernelmode, одними из первых сообщившие о распространении этого троянца, назвали его «вымогателем для Drupal» (Drupal ransomware), однако вирусные аналитики «Доктор Веб» считают это определение неполным. Linux.Rex.1 действительно атакует сайты, работающие на популярном движке Drupal, но этим его возможности не ограничиваются. http://helpform.ru/341777

Аватар пользователя gun_dose gun_dose 22 августа 2016 в 22:44

А есть ссылка на более грамотное описание вируса? А то бред какой-то - сперва пишут про троян для линукса, а потом про SQL-инъекцию в друпал, которую пофиксили два года назад. Причём тут одно к другому? А если я старый друпал на винде подниму, то в него нельзя будет инъекцию сделать что ли? Или это докторвеб замутил какой очередной лоховской продукт и ищет клиентов среди технически неграмотных параноиков?