Запушиха критична уязвимост във всички версии на Drupal
Изследовател по сигурността е алармирал екипа на Drupal за сериозна накърнимост във всички версии на платформата. Проблемът е толкоз сериозен, че с изключение на за 7,8 и 9, Drupal са издали пач и към към този момент неподдържаната шеста версия. Екипът поддържащ сигурността на CMS платформата е запушил дупката във версии 7.58, 8.5.1, 8.3.9 и 8.4.6.
Идентификационният номер, който е даден на уязвимостта е CVE-2018-7600, а степента на риск е заложена като 21/25. Успешното ѝ експлоатиране може да разреши вземането на цялостен надзор над интернет ресурса, модифицирането и триенето на данни.
Освен налагането на неуязвима версия, притежателите на Drupal съоръжения могат да минимизират казуса като създадат проблеми по конфигурациите си, само че те могат да бъдат избрани като „крайни“.. „Има няколко решения, само че всички те са построени на концепцията да не се оферират уязвимите Drupal страници на посетителите. Временната замяна на Drupal уеб страницата ви със неподвижен HTML е ефикасен способ. За тестови (staging) уеб сайтове или такива за разработка може да деактивирате уеб страницата или да включите Basic Auth ключова дума, с цел да предотвратите достъпа до него“, пишат Drupal.
От CDN компанията Cloudflare към този момент оповестиха, че са вкарали съответно предписание в уеб-апликационната си стена, с което да бъдат спрени възможни офанзиви. От Drupal споделят, че не им е известно уязвимостта да е била експлоатирана в живи офанзиви и въпреки всевъзможни механически характерности за осъществяването ѝ да не се разкриват, експертите чакат правенето на експлойти за нея и офанзиви да започват до дни или дори до часове. Това е и повода Drupal да са уведомили всички преди седмица.
Идентификационният номер, който е даден на уязвимостта е CVE-2018-7600, а степента на риск е заложена като 21/25. Успешното ѝ експлоатиране може да разреши вземането на цялостен надзор над интернет ресурса, модифицирането и триенето на данни.
Освен налагането на неуязвима версия, притежателите на Drupal съоръжения могат да минимизират казуса като създадат проблеми по конфигурациите си, само че те могат да бъдат избрани като „крайни“.. „Има няколко решения, само че всички те са построени на концепцията да не се оферират уязвимите Drupal страници на посетителите. Временната замяна на Drupal уеб страницата ви със неподвижен HTML е ефикасен способ. За тестови (staging) уеб сайтове или такива за разработка може да деактивирате уеб страницата или да включите Basic Auth ключова дума, с цел да предотвратите достъпа до него“, пишат Drupal.
От CDN компанията Cloudflare към този момент оповестиха, че са вкарали съответно предписание в уеб-апликационната си стена, с което да бъдат спрени възможни офанзиви. От Drupal споделят, че не им е известно уязвимостта да е била експлоатирана в живи офанзиви и въпреки всевъзможни механически характерности за осъществяването ѝ да не се разкриват, експертите чакат правенето на експлойти за нея и офанзиви да започват до дни или дори до часове. Това е и повода Drupal да са уведомили всички преди седмица.
Източник: kaldata.com
КОМЕНТАРИ