Участники проекта Drupal предупреждают, что завтра, 25 апреля, с 16-00 до 18-00 UTC выйдут внеочередные патчи для Drupal 7.x, 8.4.x и 8.5.x, призванные усилить защиту против эксплойта уязвимости CVE-2018-7600, получившей известность как Drupalgeddon 2. Как оказалось, выпущенные в конце марта заплатки для этой бреши в ядре CMS закрывают ее не полностью.

Поскольку Drupalgeddon 2 — уязвимость чрезвычайно опасная, кураторы проекта, как и в прошлый раз, просят веб-разработчиков «заранее выделить время на обновление ядра в указанный срок, так как эксплойты могут быть созданы в считаные часы или дни».

Проблеме, возникшей из-за несовершенства мартовского патча, присвоен отдельный идентификатор — CVE-2018-7602. Информация о дополнительном исправлении будет опубликована в виде бюллетеня в соответствующем разделе на сайте Drupal.org, в Twitter и посредством email-рассылки на адреса подписчиков.

Платформы Drupal 7 и 8.5.x можно будет обновить в обычном порядке. Администраторам сайтов, использующих Drupal 8.4.x, нужно будет незамедлительно установить сборку 8.4.8 (по ссылке в бюллетене), а затем запланировать переход на 8.5.3 или новее, притом в кратчайшие сроки.

Хотя Drupal 8.4.x официально снята с поддержки, новая заплатка для нее тоже будет выпущена, и ее установка, по словам безопасников, облегчит дальнейший апгрейд. Пользователям Drupal сборок ниже 8.4.x настоятельно рекомендуется подумать о модернизации; возможно, новые патчи на них заработают, однако следует иметь в виду, что устаревшие CMS содержат другие уязвимости, которые уже хорошо известны.

Как сказано в анонсе, патчи для CVE-2018-7602 в Drupal 7.x, 8.4.x, 8.5.x и 8.6.x следует воспринимать как дополнение к мартовскому выпуску. Обновления базы данных новый релиз не потребует.

От себя добавим: команда Drupal публикует подобные предупреждения не зря. Согласно статистике, эту CMS используют более 1 млн сайтов, и быстро пропатчить их в экстренных случаях можно только совместными усилиями всего сообщества.

В прошлый раз реакция злоумышленников на публикацию привлекательной бреши была несколько замедленной — первые атаки начались лишь через две недели после выхода патча. Спустя еще неделю оказалось, что эксплойт CVE-2018-7600 уже загружен на ботнет и поставлен на поток. Не исключено, что на этот раз авторы подобных атак будут действовать быстрее.

Update. Вышли обещанные патчи для уязвимости CVE-2018-7602, которая, согласно бюллетеню, уже используется в реальных атаках. Эти заплатки включены в состав сборок Drupal 7.59, 8.5.3 и 8.4.8; обновление рекомендуется произвести незамедлительно. Команда разработчиков предупреждает, что новые патчи будут работать только в комбинации с мартовскими исправлениями.

Категории: Главное, Уязвимости