Критическая уязвимость PSA-2018-001, D7 + D8

Аватар пользователя Semantics Semantics 22 марта 2018 в 11:42
3

Этой ночью на орге вышел релиз https://www.drupal.org/psa-2018-001
Критическая уязвимость, уязвимы версии D7, D8.3, D8.4, D8.5.

Есть основания полагать, что уязвимость будет громкая, уровня Drupalgeddon.
Обновляться нужно обязательно!

Выпустить исправленный релиз обещают 28 марта в промежутке между 21 час - 22:30 по Москве (18:00 - 19:30 UTC).

Пока это вся информация, что есть.

Комментарии

Аватар пользователя void void 28 марта 2018 в 22:43

Скажите пожалуйста по-русски очень кратко в чем засада и насколько сильно надо бояться?

Аватар пользователя Semantics Semantics 28 марта 2018 в 22:37
1

Пока основное предположение - это есть возможность хитрым запросом (GET, POST, Cookie) заставить выполняться свой код в контексте друпала, скорее всего, через формы и коллбеки к ним - сабмиты, валидаторы, etc.

Естественно, это приводит к получению полного доступа, практически, как открытый пхп-фильтр, если знаешь как.

Аватар пользователя DivaDii DivaDii 29 марта 2018 в 0:51

Скажите, пожалуйста.
В Телеграме еще обсуждали какой-то хитрый патч.

Если обновила сайты на новый 7.58 релиз, - патч нужен?

Или надо обновить:
либо релиз 7.58;
либо патч.
?

Аватар пользователя gun_dose gun_dose 29 марта 2018 в 6:38
1

Либо релиз, либо патч. Вообще в таких случаях патчи выпускают для тех, кто по каким-то причинам сидит на значительно более старой версии и не может обновиться.

Аватар пользователя ivnish ivnish 29 марта 2018 в 8:12

Если кто-то не может самостоятельно обновиться или не знает как: пишите в личку, помогу)