Уязвимости Drupal

О защите от вирусов, взломов, атак на сайты, закрытии уязвимостей
Ответить
#1
Chief
Site Admin
Сообщения: 45
Регистрация: 12.01.2021
Получил(а) "Спасибо": 9
Предупреждения: 0
Репутация: 20

Уязвимости Drupal

Несколько лет назад по сайтам на CMS Drupal прокатилась волна взломов, названная "Друпалгеддон", а спустя некоторое время, в 2018 году – Друпалгеддон-2. Причём в 2018 году разработчикам удалось закрыть эту уязвимость лишь со второй попытки. Подробно рассказывать не буду, шума было много и информации в сети соответственно тоже достаточно. Отмечу только, что из-за того, что многие владельцы сайтов по тем или иным причинам не обновляют CMS, взломы продолжались и в 2019, и в 2020 годах.
Я сравнительно давно не следил за последними новостями по безопасности Друпала, но тут на "соседнем" форуме проскочило сообщение, что сайт на Друпале ломают по несколько раз в год, и я решил почитать, нет ли чего новенького. Оказалось – есть. В конце 2020 года обнаружены несколько критических уязвимостей: CVE-2020-13671, CVE-2020-28948 и CVE-2020-28949. Все эти уязвимости позволяют выполнять произвольный PHP-код, что не просто является дырой в безопасности, а угрожает полной потерей контроля над сайтом.
Первая уязвимость
вызвана некорректной проверкой двойных расширений при загрузке файлов на сервер, что позволяет загрузить файл вида filename.php.txt
Проявиться такая уязвимость, правда, может лишь при некорректной настройке сервера, допускающей запуск кода из таких файлов.
Две других уязвимости обнаружены в PEAR-библиотеке архива и закрыты одним патчем. Их эксплуатация возможна при определённой конфигурации Друпала, если разрешена загрузка и обработка файлов архивов .tar, .tar.gz, .bz2, tlz.
Так что, уважаемые владельцы сайтов на CMS Drupal, не теряйте бдительности и вовремя обновляйтесь.
Ответить

Вернуться в «Безопасность»