The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Критическая уязвимость в системе управления контентом Drupal"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критическая уязвимость в системе управления контентом Drupal"  +/
Сообщение от opennews (??), 21-Ноя-20, 10:59 
В системе управления контентом Drupal выявлена критическая уязвимость (CVE-2020-13671), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен критический уровень опасности. Проблема устранена в выпусках Drupal...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54127

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 21-Ноя-20, 10:59   +16 +/
Судя по обилию комментариев, все местные эксперты побежали обновляться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #59

2. Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:16   +14 +/
Ну... бывает, чо. Зато нет сишных дыреней, нувыпонели.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4

3. Сообщение от Ordu (ok), 21-Ноя-20, 11:19   +12 +/
Дело фрактала живёт. Теперь сишные дырени проникают в обсуждения без каких-либо усилий с его стороны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #5

4. Сообщение от Аноним (4), 21-Ноя-20, 11:24   +5 +/
А PHP на чём написан? То-то же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #6

5. Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:40   +4 +/
Это я его кастую. Не спугни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #46

6. Сообщение от YetAnotherOnanym (ok), 21-Ноя-20, 11:41   +1 +/
Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP находили критические уязвимости едва ли не каждый день, остались в прошлом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #13, #32

7. Сообщение от Аноним (8), 21-Ноя-20, 11:42   –1 +/
Уязвимость так и называется Drupal заражает сервера под управлением Линукс.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

8. Сообщение от Аноним (8), 21-Ноя-20, 11:43   –1 +/
А ты еще вчера обновился и молодец?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #16

9. Сообщение от Аноним (9), 21-Ноя-20, 11:53   +2 +/
> позволяет загрузить файл вида filename.php.txt, который в определённых серверных конфигурациях при обращении будет выполнен как PHP-код

а с чего это вообще уязвимость? Где такие _серверные_ конфигурации, которые имя файла режут и исполняют?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

10. Сообщение от Аноним (11), 21-Ноя-20, 11:57   –3 +/
WAMP?
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (11), 21-Ноя-20, 11:59   +1 +/
Где в информации говорится о Linux?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

12. Сообщение от Аноним (12), 21-Ноя-20, 12:05   +10 +/
Белки-истерички какие-то.
Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php, это исключительно проблема места произрастания рук администратора этого сервера.
Друпал, как и любой другой скрипт для аплоада, к этому отношение имеет нулевое.
А тут аж cve, да ещё и critical.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #24

13. Сообщение от Аноним (13), 21-Ноя-20, 12:07   –2 +/
джо стала неуловимым
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от Аноним (13), 21-Ноя-20, 12:08   –1 +/
а кто кого друпал так и не рассказали
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42

16. Сообщение от пох. (?), 21-Ноя-20, 13:28   +1 +/
У него автообновление, как у всех нормальных пацанов. С утра уже починил все 3d-party плагины которые оно поломало, и спит себе до обеда.


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #36

17. Сообщение от пох. (?), 21-Ноя-20, 13:38   –7 +/
> Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php

include('filename.php.txt')

Ну покажи, покажи же нам, не стесняйся... да не, этим сморчком ты кого хотел удивить, спрячь обратно, не позорься, тут у всех длиннее, покажи нам свой чудо-сервер, настроенный так что такое не запустится.

"другой скрипт для аплоада", внезапно, не исполняет как код то что сам же зааплоадил. (Если,конечно, файл не называется phar://чтотатам - но тут скрипт не виноват) А вот дрюпал - могет.

> А тут аж cve, да ещё и critical.

и без малейших деталей. Что как бе намекает, что дело не в настройках сервера (если только не в таких, которые делают все загруженные файлы недоступными для php пока админ не подтвердит вручную - как оно ДОЛЖНО быть блжад, но никогда не будет до конца юги.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #20, #34, #40

18. Сообщение от Аноним (18), 21-Ноя-20, 13:53   +/
Никогда такого не было, и вот опять...
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от gogo (?), 21-Ноя-20, 13:55   +1 +/
дефолтный конфиг Apache?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #21, #23

20. Сообщение от Аноним (9), 21-Ноя-20, 14:00   +/
> include('filename.php.txt')

И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include
Только проблема будет не в загруженном, а в файле с инклудом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #22

21. Сообщение от Аноним (9), 21-Ноя-20, 14:06   +5 +/
Что?

а файл so.txt он, наверно, как модуль подтягивает

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от пох. (?), 21-Ноя-20, 14:21   –1 +/
> И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include

вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить, а txt не будут исполнять. Но в regex забыли $ после php, поэтому вышла такая фигня.

> Только проблема будет не в загруженном, а в файле с инклудом.

Так это весь дрюпал и есть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от Аноним (23), 21-Ноя-20, 14:38   +/
Разве что у любителей докеров от Васянов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от Аноним (23), 21-Ноя-20, 14:40   +4 +/
"Контейнер не мой, я просто его развернул"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

25. Сообщение от Аноним (-), 21-Ноя-20, 14:59   –1 +/
Drupal для тех, кто не может вручную сайт написать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

26. Сообщение от Аноним (18), 21-Ноя-20, 15:25   +4 +/
Причём сложность написания своего даже меньше, чем что-то под друпал разрабатывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от DEF (?), 21-Ноя-20, 16:03   +6 +/
Дрюпал еще жив? Вордпресс почти все завхватил уже, вытеснив остальные ЦМСки.
Ответить | Правка | Наверх | Cообщить модератору

28. Сообщение от смузихлёб (?), 21-Ноя-20, 16:26   +6 +/
Кто-то в 2к20 пользуется ещё Друпалом? Таких веб-сайтов меньше половины процента наверное.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #68

29. Сообщение от Alex_Kemail (??), 21-Ноя-20, 16:33   +1 +/
Проблеме подвержены скорее всего конфигурации с
AddType application/x-httpd-php .php

Наиболее же безопасным является
<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31, #38

30. Сообщение от Анон1212 (?), 21-Ноя-20, 16:49   +1 +/
Друпал еще жив? Я думал еще году в 2010 всё
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

31. Сообщение от пох. (?), 21-Ноя-20, 17:19   +1 +/
Нет, проверь и убедись что с .php.txt у тебя получится text/plain
Апач, знаешь ли, писали не настолько альтернативно-одаренные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #35

32. Сообщение от пох. (?), 21-Ноя-20, 17:22   –2 +/
Напомните, давно ли была уязвимость в php-fpm? ;-) RCE, afair?
Которую еще и отказались исправлять в "нимоднанимодна, все, eol, мы обмазываемся только свеженьким" пятых версиях.

А уязвимость в phar - просто объявлена notabug, closed. Времена когда критические уязвимости признавали таковыми - видать да, давно прошли, и не только в php.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #57

33. Сообщение от Аноним (-), 21-Ноя-20, 17:38   +/
>Друпал еще жив? Я думал еще году в 2010 всё

Если ты жив значит и Друпал жив.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (34), 21-Ноя-20, 17:59   +3 +/
>include('filename.php.txt')

ССЗБ.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

35. Сообщение от Alex_Kemail (??), 21-Ноя-20, 18:08   +2 +/
Я с вами спорить не буду. В свое время проверял работу и был удивлен результату.
Да и документация про множественные расширения допускает это
http://httpd.apache.org/docs/2.4/mod/mod_mime.html#multipleext
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #39

36. Сообщение от Dzen Python (ok), 21-Ноя-20, 18:33   –1 +/
А разве это реально? Починить все плагины после обновления?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #49

38. Сообщение от Аноним (12), 21-Ноя-20, 19:00   +1 +/
Все нормально будет с addtype.

А вот если в регулярке забудешь конечный доллар - получится как раз искомое.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #53, #55

39. Сообщение от Аноним (12), 21-Ноя-20, 19:04   +1 +/
Это уже не addtype, а addhandler. Это, да, минное поле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #50

40. Сообщение от Аноним (12), 21-Ноя-20, 19:10   +/
И откуда этот include взялся? Либо ты его сам написал, либо в коде есть уязвимость с include injection - и в этом случае закрывать надо именно include injection, а не как индус лечить симптомы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

41. Сообщение от jura12email (ok), 21-Ноя-20, 19:39   +/
нормально все. обычная практика обновлять движёк. курирую 4 сайта друпал.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #47

42. Сообщение от Какаянахренразница (ok), 21-Ноя-20, 20:14   +4 +/
> кто кого друпал

Я твой дом труба друпал

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

43. Сообщение от Dzen Python (ok), 21-Ноя-20, 20:36   +1 +/
Иэх. Предчувсвую очередную боль у админов старой - работает, не трожь - закалки. Тут же трогать надо, обновлять, тестить...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

44. Сообщение от Аноним (44), 21-Ноя-20, 20:49   +4 +/
> движёк

Это даже не опечатка, т.к. надо потянуться в угол.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #70

45. Сообщение от Аноним (45), 21-Ноя-20, 21:04   +1 +/
Думаешь у них дело дойдет до "тестить"? Свлится - будут исправлять, а пока работает - не трогать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #52

46. Сообщение от Аноним (-), 21-Ноя-20, 21:09   +1 +/
зачем, одного достаточно, не надо новых спаунить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

47. Сообщение от anoname (?), 21-Ноя-20, 22:35   +/
Держи нас в курсе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

48. Сообщение от Аноним (48), 21-Ноя-20, 22:45   +1 +/
А главное что в патче есть переменная whitelist несмотря на то что они первые под педиков прогнулись.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

49. Сообщение от пох. (?), 21-Ноя-20, 23:11   +1 +/
ну выключил те что не чинятся, и спи теперь до ужина.
А чо, варианты как будто есть? ;-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

50. Сообщение от пох. (?), 21-Ноя-20, 23:14   +/
Но addhandler используется в реальной жизни примерно никем, а в нереальной - с ооочень редкой экзотикой, причем мертвой уже лет пятнадцать как.

Для php уж точно никем и никогда, это какое-то совсем шизофреническое извращение.

В любом случае, не вижу как такое можно исправить _друпалом_. Очевидно, что проблема исправляемая внутри друпала - она в друпале, а не в апаче.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #63

51. Сообщение от пох. (?), 21-Ноя-20, 23:16   +/
Мерзавцы! Как они смеют! Срочно на колени перед неграми, и сосат!

Ты уже прислал им гневный pr? Или опять все самому делать надо?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #54

52. Сообщение от пох. (?), 21-Ноя-20, 23:17   +/
Учитывая что речь о друпале - разумеется, свалится. Или отвалятся модули, или развалится самописная глагна. Когда б оно бывало иначе. Так что чего там тестить - сразу можно идти чинить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #58, #69

53. Сообщение от пох. (?), 21-Ноя-20, 23:21   +1 +/
Угу, как обычно у белок-истеричек. В борьбе за видимость безопасности - как раз и заменяют надежное дубовое решение - дырявым by design.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

54. Сообщение от jura12email (ok), 21-Ноя-20, 23:40   +/
сделай все сам. встань и с..ни.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #61

55. Сообщение от Alex_Kemail (??), 22-Ноя-20, 01:45   +/
Ну смотря, что считатать нормой. Вот мануал по AddType
http://httpd.apache.org/docs/2.4/mod/mod_mime.html#addtype
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

57. Сообщение от YetAnotherOnanym (ok), 22-Ноя-20, 10:58   +2 +/
Ну, я за пыхом не слежу, но по сравнению с тем, что было, сейчас просто покой и благолепие.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

58. Сообщение от InuYasha (??), 22-Ноя-20, 11:32   +/
Так что же - вротпресс лучше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #65, #67

59. Сообщение от Pilat66 (?), 22-Ноя-20, 14:39   –2 +/
Да просто друпал продолжают использовать только те, кто вообще не читает рассылки по безопасности. Остальные давно о нём забыли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #64

61. Сообщение от пох. (?), 22-Ноя-20, 15:29   –4 +/
Это тебе придется, самому. У моих предков, к сожалению, никогда не было даже одного чорного раба, не защитается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #66

63. Сообщение от Аноним (63), 22-Ноя-20, 16:55   +/
Ну, друпал часто ставят на васян-хостинги, настроенные копипастой со stackoverflow, потому я могу понять озабоченность.

Но cve это перебор, да.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

64. Сообщение от гшшг (?), 22-Ноя-20, 17:10   +2 +/
Перешли на вордпресс наверное?
Или если ваше смс никому не нужно, то оно безопаснее?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

65. Сообщение от пох. (?), 22-Ноя-20, 23:56   +1 +/
На одном стуле - пики точены,а на другом тоже так себе наборчик.

В целом не вижу поводов для смены платформы, какая бы из двух она не была.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

66. Сообщение от Аноним (18), 23-Ноя-20, 02:50   +2 +/
> к сожалению, никогда не было даже одного чорного раба

Сочувствую... К соседским ходили с..ть?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

67. Сообщение от Аноним (18), 23-Ноя-20, 08:38   +/
оба в мусорку
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

68. Сообщение от Shoorick (?), 23-Ноя-20, 12:36   +/
https://w3techs.com/technologies/history_overview/content_ma... — два с половиной процента по состоянию на ноябрь 2020. Вместе с WiX делит четвёртое-пятое место, а если рассматривать только CMS — третье. Полпроцента — это гораздо менее популярный TYPO3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

69. Сообщение от хоп (?), 24-Ноя-20, 11:59   +/
Не выдумывайте. В данном случае для D7 патч на 440 строк правит три файла, из которых два файла и 330 строк -- это юнит-тесты, а оставшееся -- переименовыватель foo.php.txt в foo.php_.txt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

70. Сообщение от IRASoldier_registered (ok), 25-Ноя-20, 21:07   +/
Поколение войнов, андройдов и девчёнок, которое не хочет тратить время на "гуманитарщину".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру