В Drupal обнаружена критическая уязвимость

758

В коде системы управления контентом Drupal обнаружена критическая уязвимость – SA-CORE-2018-004. Об этом сообщается на официальном сайте компании.

Уязвимость позволяет хакерам удалённо выполнять код на сайте на базе Drupal через «несколько векторов атаки». В компании рекомендуют обновить ПО до последних версий Drupal 7 или 8. Атаки с использованием этой уязвимости пока не обнаружены, но обновиться нужно как можно быстрее.

Drupal опубликовал обновлённые версии ПО на своём сайте. Разработчики рекомендуют следующие решения:

  • При использовании версии 7.x, нужно установить Drupal59.
  • При использовании версии 8.5.x, нужно перейти на Drupal5.3.
  • При использовании 8.4.x, нужно обновиться до Drupal4.8.

Если возможность установить новую версию ПО отсутствует, то рекомендуется применить следующие патчи до полного обновления:

Однако все эти решения будут работать только в том случае, если было проведено обновление после сообщения о ранее выявленной уязвимости – SA-CORE-2018-002.

«Команда безопасности выявила автоматические атаки, пытающиеся скомпрометировать сайты на Drupal 7 и 8, используя уязвимость SA-CORE-2018-002. В связи с этим, мы повышаем риск безопасности по этой проблеме до 24/25».

Сайты, которые не обновили ПО до 11 апреля 2018, могут быть скомпрометированными. Это та дата, когда стало известно о попытках автоматических атак. Предполагается, что эти атаки могли осуществляться и ранее.

Редактор-переводчик. Специализируется на западном интернет-маркетинге и SEO. Освещает события в этой области с 2014 года.