Критическая уязвимость PSA-2018-001, D7 + D8

Аватар пользователя Semantics
3

Этой ночью на орге вышел релиз https://www.drupal.org/psa-2018-001
Критическая уязвимость, уязвимы версии D7, D8.3, D8.4, D8.5.

Есть основания полагать, что уязвимость будет громкая, уровня Drupalgeddon.
Обновляться нужно обязательно!

Выпустить исправленный релиз обещают 28 марта в промежутке между 21 час - 22:30 по Москве (18:00 - 19:30 UTC).

Пока это вся информация, что есть.

Тип материала:

Комментарии

Аватар пользователя Semantics
Semantics 8 месяцев назад

Тем временем - орг лежит

Аватар пользователя Andruxa
Andruxa 8 месяцев назад

Уже подняли

Аватар пользователя Semantics
Semantics 8 месяцев назад

Ядрышки свежие завезли.
Обнова довольно простая, но нужная

Аватар пользователя void
void 8 месяцев назад

Скажите пожалуйста по-русски очень кратко в чем засада и насколько сильно надо бояться?

Аватар пользователя Semantics
Semantics 8 месяцев назад
1

Пока основное предположение - это есть возможность хитрым запросом (GET, POST, Cookie) заставить выполняться свой код в контексте друпала, скорее всего, через формы и коллбеки к ним - сабмиты, валидаторы, etc.

Естественно, это приводит к получению полного доступа, практически, как открытый пхп-фильтр, если знаешь как.

Аватар пользователя void
void 8 месяцев назад

Вроде звучит страшно. Спасибо за информацию.

Аватар пользователя DivaDii
DivaDii 8 месяцев назад

Скажите, пожалуйста.
В Телеграме еще обсуждали какой-то хитрый патч.

Если обновила сайты на новый 7.58 релиз, - патч нужен?

Или надо обновить:
либо релиз 7.58;
либо патч.
?

Аватар пользователя gun_dose
gun_dose 8 месяцев назад
1

Либо релиз, либо патч. Вообще в таких случаях патчи выпускают для тех, кто по каким-то причинам сидит на значительно более старой версии и не может обновиться.

Аватар пользователя itcrowd72
itcrowd72 8 месяцев назад

Если кто-то не может самостоятельно обновиться или не знает как: пишите в личку, помогу)