21 ноября в 13:53
Сегодня меня почта порадовала пачкой сообщений в рассылке "Security News" от команды по безопасности Друпала.
Вот что имеем на данный момент
Drupal core - Critical - Cross Site Scripting - SA-CORE-2024-005
Риск: Critical 17 ∕ 25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
Затрагивает: Drupal 7
В Drupal 7 модуль Overlay небезопасно работает с пользовательским вводом, что может привести к межсайтовому скриптингу при определенных обстоятельствах.
Выхода два
- Обновиться до Drupal 7.102
- Отключить модуль Overlay
Это самая большая угроза. Остальные поменьше
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2024-003
Риск: Moderately critical 13 ∕ 25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Затрагивает: >= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8
Drupal использует JavaScript для рендеринга статусных сообщений в некоторых случаях и конфигурациях. При определенных обстоятельствах статусные сообщения не проходят соответствующую очистку, что может привести к межсайтовому скриптингу.
Лечение
- Drupal 10.2, обновить до Drupal 10.2.11.
- Drupal 10.3, обновить до Drupal 10.3.9.
- Drupal 11.0, обновить до Drupal 11.0.8.
Drupal core - Moderately critical - Gadget chain - SA-CORE-2024-008
Риск: Moderately critical 14 ∕ 25 AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
Затрагивает: >= 8.0.0 < 10.2.11 || >= 10.3.0 < 10.3.9
Ядро Drupal содержит потенциальную уязвимость PDO, которая при сочетании с другим эксплойтом может привести к удаленному выполнению кода. На прямую эту уязвимость использовать нельзя.
Затрудняет использование этой уязвимости то, что должна присутствовать другая уязвимость, позволяющая передавать опасный инпут в unserialize(). Такие эксплойты для ядра Друпал неизвестны.
Лечение
- Drupal 7, обновить до Drupal 7.102.
- Drupal 10.2, обновить до Drupal 10.2.11.
- Drupal 10.3, обновить до Drupal 10.3.9.
Еще две уязвимость про тоже самое.
https://www.drupal.org/sa-core-2024-007
https://www.drupal.org/sa-core-2024-006
Последняя может приводить к удалению файлов.
Комментарии
ко мне приходят на почту эти сообщения. но а сайт сам обновился и прислал отчет на почту. и никаких проблем.
Автоматическое обновление - вещь конечно удобная, но на больших проектах этим лучше не увлекаться.
На больших проектах обновление это целый процесс, его нужно запланировать, предупредить пользователей, создать бэкапы.
Поэтому для больших проектов и нужно читать описание уязвимостей, что бы понять, а надо ли оно вообще вам, или можно отложить.
Отложить нельзя. Они к примеру критические. Многие к этому не серьёзно относятся.
Действительно надо делать некототое различение в целесообразности автоматических обновления. Наверно подходит для мелких, средних и не зависящих от дохода с сайта проектов. Думаю таких сайтов большинство.