krytyczna luka w drupalu

[Marek607]

Hej,

Wczoraj wieczorem drupal opublkował informacje o krytycznej luce w jego oprogramowanu umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera.
Umieściłem na naszym blogu informację o tej podatności: 

https://hostmark.pl/blog/drupal-wysoce-krytyczna-podatnosc-przejecie-witryny-bez-uwierzytelnienia-sa-core-2018-002/

 

Orginalny wpis:

https://www.drupal.org/sa-core-2018-002

 

faq:

https://groups.drupal.org/security/faq-2018-002

 

Ciekawy jestem ile osób połata serwisy, tym bardziej że część żyje już świętami i taki upgrade zostawią "na po świętach". 

[Kapitan_Bomba]

Cytuj

umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera

Czyli włamywacz uzyska dostęp do root'a?

Mogliby swoją drogą od razu zarzucić jakąś regułą do mod_security (choćby taką prowizoryczną, tymczasową).

Edytowane 29 Marca 2018 przez Kapitan_Bomba

[Marek607]

4 minuty temu, Kapitan_Bomba napisał:

Czyli włamywacz uzyska dostęp do root'a?

Mogliby swoją drogą od razu zarzucić jakąś regułą do mod_security (choćby taką prowizoryczną, tymczasową).

 

Sporo już w życiu widziałem nawet kilka serwisów gdzie pliki witryny działały z prawami root-a  a open_basedir/firewall tylko przeszkadza, więc nic mnie nie zaskoczy

Ale racja, mogli napisać jakąś łatkę dla bezpieczników zanim klient zrobi update - zamiast tego mamy suche info "można to załatać konfiguracją serwera, ale nie powiemy jaką - aktualizujcie". 

[rob006]

W dniu 29.03.2018 o 09:28, Marek607 napisał:

umożliwiającej każdemu kto będzie miał exploita pełen dostęp do serwera.

 

Jak zainstaluję sobie dziurawego Drupala na hostingu współdzielonym i sam się na niego włamię, to dostanę roota na tym serwerze? Czyli to Drupal jest exploitem.