Skocz do zawartości

Rekomendowane odpowiedzi

Hej,

Wczoraj wieczorem drupal opublkował informacje o krytycznej luce w jego oprogramowanu umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera.
Umieściłem na naszym blogu informację o tej podatności: 

https://hostmark.pl/blog/drupal-wysoce-krytyczna-podatnosc-przejecie-witryny-bez-uwierzytelnienia-sa-core-2018-002/

 

Orginalny wpis:

https://www.drupal.org/sa-core-2018-002

 

faq:

https://groups.drupal.org/security/faq-2018-002

 

Ciekawy jestem ile osób połata serwisy, tym bardziej że część żyje już świętami i taki upgrade zostawią "na po świętach". 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Cytuj

umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera

Czyli włamywacz uzyska dostęp do root'a? :o;)

Mogliby swoją drogą od razu zarzucić jakąś regułą do mod_security (choćby taką prowizoryczną, tymczasową).

Edytowane przez Kapitan_Bomba

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
4 minuty temu, Kapitan_Bomba napisał:

Czyli włamywacz uzyska dostęp do root'a? :o;)

Mogliby swoją drogą od razu zarzucić jakąś regułą do mod_security (choćby taką prowizoryczną, tymczasową).

 

Sporo już w życiu widziałem nawet kilka serwisów gdzie pliki witryny działały z prawami root-a  a open_basedir/firewall tylko przeszkadza, więc nic mnie nie zaskoczy :)

Ale racja, mogli napisać jakąś łatkę dla bezpieczników zanim klient zrobi update - zamiast tego mamy suche info "można to załatać konfiguracją serwera, ale nie powiemy jaką - aktualizujcie". 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
W dniu 29.03.2018 o 09:28, Marek607 napisał:

umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera.

 

Jak zainstaluję sobie dziurawego Drupala na hostingu współdzielonym i sam się na niego włamię, to dostanę roota na tym serwerze? Czyli to Drupal jest exploitem. :D

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników, przeglądających tę stronę.

×

Powiadomienie o plikach cookie

Korzystając z forum, wyrażasz zgodę na: Warunki użytkowania, Regulamin, Polityka prywatności.