В Drupal исправили критическую уязвимость, с помощью которой можно было захватывать сайты

Разработчики Drupal исправили критическую уязвимость (CVE-2019-6342) в своей CMS, которая могла использоваться для полного захвата контроля над уязвимы сайтом.

Проблема угрожала только Drupal 8.7.4, Drupal 8.7.3 и более ранним версиям, то есть Drupal 8.6.x, Drupal 7 .x и более ранние версии этих веток не были подвержены багу.

Разработчики поясняют, что баг связан с экспериментальный модулем Workspaces. Если тот включен в Drupal 8.7.4, создаются условия обхода защиты.

Уязвимость была исправлена в релизе Drupal 8.7.5. Подчеркивается, что исправление будет применяться только к уязвимым сайтам, на которых работает update.php . Его включение — это обязательный шаг, который необходимо будет сделать вручную при обновлении до Drupal 8.7.5.

«Сайтам с включенным модулем Workspaces необходимо запустить update.php, чтобы обеспечить очистку  кеша. Если используется обратный прокси-кеш или сеть доставки контента (например, Varnish, CloudFlare), также желательно их очистить», — предупредили в Drupal.

Разработчики рекомендуют пользователям обновить CMS до версии 8.7.5 как можно быстрее, так как для атаки на уязвимый ресурс злоумышленнику достаточно просто перейти по определенному URL-адресу и без какой либо регистрации или аутентификации взаимодействовать с сайтом. К счастью, пока эксплоита для CVE-2019-6342 еще нет, поэтому у администраторов есть время для обновления.

Если же установка обновления по каким-то причинам невозможна, рекомендуется по крайней мере отключить уязвимый модуль Workspaces.

В настоящее время, согласно официальным данным, 290 958 сайтов используют Drupal 8.x (из 1 093 220 сайтов). Причем разработчики признают, что данная статистика является неполной: она включает лишь сайты, использующие модуль Update Status . Данный модуль был включен в состав Drupal начиная с версии 6.x, поэтому более старые ресурсы статистика попросту не охватывает.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • Drupal на сколько теперь он стал более зпщищеным?