На прошлой неделе разработчики фреймворка с открытым исходным кодом Drupal устранили ряд критических брешей, позволяющих удаленно исполнить код и захватить контроль над сайтом, использующим эту CMS-систему.

Уязвимости содержались в модуле RESTful Web Services, предназначенном для создания REST API; модуле Coder, использующемся для анализа кода, и в модуле Webform Multiple File Upload (сбора файлов посетителей сайта). По свидетельству Грега Нэддисона (Greg Knaddison), разработчика и члена ИБ-команды Drupal, в настоящее время эти модули в совокупности установлены более чем на 10 тыс. сайтов. Наиболее популярен из них RESTWS, он используется как минимум на половине затронутых сайтов.

В своем твите Нэддисон отметил, что, хотя обновления актуальны не для всей пользовательской базы Drupal, их нужно установить незамедлительно.

В информационном бюллетене, опубликованном в минувшую среду, разработчики подчеркнули, что ядро Drupal эти уязвимости не затрагивают, они опасны лишь для сайтов, использующих названные модули. Эксплуатацию сможет осуществить любой посетитель сайта, который в случае успеха получит возможность выполнять разные действия. Самым серьезным последствием в данном случае является захват сайта и сервера.

Атакующему нужно лишь послать специально сформированный запрос, который в определенных условиях (разных для каждого уязвимого модуля) может повлечь исполнение произвольного PHP-кода. Так, в случае с Coder, как уточняется в отдельном твите, модуль необязательно должен быть включен, достаточно того, что он установлен в корневой директории сайта:

Данная проблема была исправлена путем ужесточения проверки входных данных пользователя в скриптовых файлах с PHP-расширением. В бюллетене Drupal сказано, что из-за неадекватности этой проверки пользователь мог запросить файл напрямую и исполнить код.

Категории: Главное, Уязвимости