Mobili versija | Apie | Visos naujienos | RSS | Kontaktai | Paslaugos
 
Jūs esate čia: Pradžia » Visos temos » Technologijos » IT

Būkite atsargūs: per mėnesį atrastas jau trečias Drupal turinio valdymo sistemos pažeidžiamumas. Patarimai ką daryti

2018-04-27 (2) Rekomenduoja   (5) Perskaitymai (694)
    Share

Kaip pranešama prieš dvi dienas, Drupal išleido naujas savo programinės įrangos versijas, kad pakoreguotų dar vieną kritinį nuotolinio kodo vykdymą (critical remote code execution - RCE), pažeidžiantį jo Drupal 7 ir 8 versijų branduolius.

„Drupal" yra populiari atviro kodo turinio valdymo sistemos programinė įranga, kuri naudojama milijonuose svetainių ir  deja, TVS turėjo aktyvių išpuolių, nes po to buvo atskleistas labai kritiškas nuotolinio kodo vykdymo pažeidžiamumas.

Naujas pažeidžiamumas buvo aptiktas tiriant anksčiau atskleistą RCE pažeidžiamumą, pavadintą Drupalgeddon2 (CVE-2018-7600), kuris buvo atskleistas kovo 28 d., priversdamas Drupal komandą išleisti šio produkto atnaujinimą (patch update).

Pagal naują Drupal komandos pateiktą ataskaitą, naujasis nuotolinio kodo vykdymo pažeidžiamumas (CVE-2018-7602) taip pat galėtų leisti atakuotojams visiškai perimti pažeidžiamas svetaines.

Kaip pridėti „Drupal" pažeidžiamumą „Drupalgeddon3"

Kadangi anksčiau atskleistas pažeidžiamumas, kuris sukėlė daug dėmesio ir motyvavo užpuolikus dėmesį nukreipti  į svetaines, veikiančias Drupal pagrindu, bendrovė paragino visus svetainės administratorius kuo greičiau įdiegti naujus saugumo pataisymus.

  • Jei naudojate 7.x versiją, atnaujinkite į Drupal 7.59.
  • Jei naudojate 8.5.x versiją, atnaujinkite į Drupal 8.5.3.
  • Jei naudojate 8.4.x versiją, kuri nebepalaikoma, pirmiausia turite atnaujinti savo svetainę iki 8.4.8 versijos ir tada kuo greičiau įdiekite naujausią 8.5.3 versiją.

Taip pat reikėtų atkreipti dėmesį, kad nauji pataisymai veiks tik tada, jei jūsų svetainė jau pritaikė pataisymus dėl „Drupalgeddon2" trūkumų.

„Mes neturime duomenų apie aktyvius bandymus išnaudoti šiuos naujus pažeidžiamumus", - sakė „Drupal" atstovas spaudai. „Be to, naujasis trūkumas yra sudėtingesnis, kad susitvarkytų su išnaudojimu."

Techninės detalės apie trūkumą, gali būti pavadintos „Drupalgeddon3", nebuvo paviešintos per  patariamąjį pranešimą, tačiau tai nereiškia, kad galite palaukti, kol kitą rytą atnaujinsite savo svetainę, manydami, kad nebus užpulta.

Mes matėme, kaip užpuolikai sukūrė automatizuotus išnaudojimo būdus, kurie sugebėjo panaudoti Drupalgeddon2 pažeidžiamumą, kelios valandos po to, kai išsami informacija būvo paskelbta viešai, bandydami idiegti į svetaines apkrėstą kriptovaliutų kasėjų kodą, backdoors ir kitas kenkėjiškas programas.

Be šių dviejų trūkumų, komanda praėjusią savaitę patobulino vidutinio sunkumo kryžminio scenarijaus (XSS) pažeidžiamumą, dėl to nuotoliniai atakuotojai galėjo naudoti išplėstinius išpuolius, įskaitant slapuko vagystes, klavišų rinkimo informaciją, sukčiavimą ir tapatybės vagystę.

Todėl Drupal svetainių administratoriams yra labai rekomenduojama atnaujinti savo svetaines kuo greičiau.

Verta skaityti! Verta skaityti!
(5)
Neverta skaityti!
(0)
Reitingas
(5)
Komentarai (2)
Komentuoti gali tik registruoti vartotojai
Kiti tekstai, kuriuos parašė Donatas Vertelka
Naujausi įrašai

Įdomiausi

Paros
34(0)
15(0)
13(0)
11(0)
11(0)
10(2)
Savaitės
104(1)
86(0)
86(4)
Mėnesio
150(27)
147(12)
142(22)
107(0)
101(19)