Skocz do zawartości
  • Cześć!

    Witaj na forum RootNode - aby pisać u nas musisz się zarejestrować, a następnie zalogować. Posty pisane z kont niezarejestrowanych nie są widoczne publicznie.

krytyczna luka w drupalu


Marek607
 Udostępnij

Rekomendowane odpowiedzi

Hej,

Wczoraj wieczorem drupal opublkował informacje o krytycznej luce w jego oprogramowanu umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera.
Umieściłem na naszym blogu informację o tej podatności: 

https://hostmark.pl/blog/drupal-wysoce-krytyczna-podatnosc-przejecie-witryny-bez-uwierzytelnienia-sa-core-2018-002/

 

Orginalny wpis:

https://www.drupal.org/sa-core-2018-002

 

faq:

https://groups.drupal.org/security/faq-2018-002

 

Ciekawy jestem ile osób połata serwisy, tym bardziej że część żyje już świętami i taki upgrade zostawią "na po świętach". 

Odnośnik do komentarza
Udostępnij na innych stronach

Cytuj

umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera

Czyli włamywacz uzyska dostęp do root'a? :o;)

Mogliby swoją drogą od razu zarzucić jakąś regułą do mod_security (choćby taką prowizoryczną, tymczasową).

Edytowane przez Kapitan_Bomba
Odnośnik do komentarza
Udostępnij na innych stronach

4 minuty temu, Kapitan_Bomba napisał:

Czyli włamywacz uzyska dostęp do root'a? :o;)

Mogliby swoją drogą od razu zarzucić jakąś regułą do mod_security (choćby taką prowizoryczną, tymczasową).

 

Sporo już w życiu widziałem nawet kilka serwisów gdzie pliki witryny działały z prawami root-a  a open_basedir/firewall tylko przeszkadza, więc nic mnie nie zaskoczy :)

Ale racja, mogli napisać jakąś łatkę dla bezpieczników zanim klient zrobi update - zamiast tego mamy suche info "można to załatać konfiguracją serwera, ale nie powiemy jaką - aktualizujcie". 

Odnośnik do komentarza
Udostępnij na innych stronach

W dniu 29.03.2018 o 09:28, Marek607 napisał:

umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera.

 

Jak zainstaluję sobie dziurawego Drupala na hostingu współdzielonym i sam się na niego włamię, to dostanę roota na tym serwerze? Czyli to Drupal jest exploitem. :D

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
 Udostępnij

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.