В минувшую среду вышло обновление для Drupal, закрывающее критическую уязвимость в процессоре ядра CMS-системы.

Разработчики расценили данную брешь как обход доступа и отметили, что использующие Drupal сайты уязвимы лишь при определенных условиях — в частности, если модуль RESTful Web Services включен, разрешены запросы PATCH и у атакующего имеется доступ к пользовательскому аккаунту.

«Риски выше, если у атакующего есть возможность создать учетную запись пользователя или получить доступ к такому аккаунту, — сказано в FAQ на сайте Drupal.org. — Другие, менее распространенные векторы эксплойта, использующие слабость разрешений на сайте, позволяют анонимно выполнять действия, обычно доступные лишь аутентифицированному пользователю».

В информационном бюллетене разработчика сказано, что данная уязвимость (CVE-2017-6919) свойственна версии 8 CMS-системы в сборках ниже 8.2.8 и 8.3.1; Drupal 7.x она не затрагивает. «Мы обычно не латаем устаревшие, неподдерживаемые релизы, однако в связи с потенциально высокой опасностью мы подготовили также обновление для 8.2.x, чтобы сайты, у которых не было возможности перейти на 8.3.0, можно было надежно защитить», — говорится в бюллетене.

В качестве общей меры безопасности администраторам сайтов рекомендуется заблокировать регистрацию пользователей, если в ней нет особой нужды. «Регистрацию пользователей следует отключить, если она не важна для сайта, а анонимным или не заслуживающим доверия пользователям свести разрешения к минимуму в соответствии с потребностями сайта, — советуют разработчики. — Также следует осложнить получение доступа к более привилегированным аккаунтам на сайте на случай атаки».

Пользователям Drupal 8.2.7 и ниже рекомендуется произвести обновление до 8.2.8, Drupal 8.3.0 — до 8.3.1. «Ядро Drupal 8.1 было снято с поддержки более шести месяцев назад, 8.0 — год назад, — пишет разработчик. — Нам сообщили также о других уязвимостях, затрагивающих 8.0 и 8.1, поэтому все использующие их сайты надлежит обновить в кратчайшие сроки».

В марте появился коррекционный выпуск Drupal Core с рядом патчей, в том числе для RCE-уязвимости в неназванной библиотеке сторонней разработки, интегрированной в Drupal 8. Он закрыл также возможность обхода прав доступа, привнесенную некорректностью проверки доступа к личным файлам, добавляемым через текстовый редактор (например, CKEditor). Тогда же была устранена возможность подмены межсайтовых запросов, возникшая из-за отсутствия токена защиты от CSRF в некоторых путях к средствам администрирования. Наличие этой бреши позволяло атакующим отключить соответствующие блоки на сайте.

Ряд уязвимостей в Drupal были пропатчены прошлой осенью — в сентябре и ноябре.

Категории: Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *