Skocz do zawartości
Marek607

krytyczna luka w drupalu

Polecane posty

Hej,

Wczoraj wieczorem drupal opublkował informacje o krytycznej luce w jego oprogramowanu umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera.
Umieściłem na naszym blogu informację o tej podatności: 

https://hostmark.pl/blog/drupal-wysoce-krytyczna-podatnosc-przejecie-witryny-bez-uwierzytelnienia-sa-core-2018-002/

 

Orginalny wpis:

https://www.drupal.org/sa-core-2018-002

 

faq:

https://groups.drupal.org/security/faq-2018-002

 

Ciekawy jestem ile osób połata serwisy, tym bardziej że część żyje już świętami i taki upgrade zostawią "na po świętach". 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Cytuj

umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera

Czyli włamywacz uzyska dostęp do root'a? :o;)

Mogliby swoją drogą od razu zarzucić jakąś regułą do mod_security (choćby taką prowizoryczną, tymczasową).

Edytowano przez Kapitan_Bomba

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
4 minuty temu, Kapitan_Bomba napisał:

Czyli włamywacz uzyska dostęp do root'a? :o;)

Mogliby swoją drogą od razu zarzucić jakąś regułą do mod_security (choćby taką prowizoryczną, tymczasową).

 

Sporo już w życiu widziałem nawet kilka serwisów gdzie pliki witryny działały z prawami root-a  a open_basedir/firewall tylko przeszkadza, więc nic mnie nie zaskoczy :)

Ale racja, mogli napisać jakąś łatkę dla bezpieczników zanim klient zrobi update - zamiast tego mamy suche info "można to załatać konfiguracją serwera, ale nie powiemy jaką - aktualizujcie". 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
W dniu 29.03.2018 o 09:28, Marek607 napisał:

umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera.

 

Jak zainstaluję sobie dziurawego Drupala na hostingu współdzielonym i sam się na niego włamię, to dostanę roota na tym serwerze? Czyli to Drupal jest exploitem. :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dołącz do rozmowy

Możesz pisać i zarejestrować się później. Jeśli masz konto,Zaloguj się teraz, aby publikować na swoim koncie.

Gość
Odpowiedz...

×   Wklejony jako tekst z formatowaniem.   Wklej jako zwykły tekst

  Dozwolonych jest tylko 75 emoji.

×   Twój link będzie automatycznie osadzony.   Wyświetlać jako link

×   Twoja poprzednia zawartość została przywrócona.   Wyczyść edytor

×   Nie możesz wkleić zdjęć bezpośrednio. Prześlij lub wstaw obrazy z adresu URL.


  • Kto przegląda   0 użytkowników

    Brak zalogowanych użytkowników przeglądających tę stronę.

×
×
  • Utwórz nowe...

Ważne informacje

Korzystając z forum, wyrażasz zgodę na: Warunki korzystania z serwisu, Regulamin, Polityka prywatności.