Критические уязвимости в системе управления web-контентом Drupal 8

22.09.2016 19:51

В обновлении системы управления web-контентом Drupal 8.1.10 устранено три уязвимости, две из которых отнесены к категории критически опасных проблем. Первая из опасных проблем позволяет атакующему сформировать специально оформленный URL, который при открытии в браузере жертвы приведёт к выполнению произвольного JavaScript-кода в контексте уязвимого сайта. Вторая проблема позволяет использовать маршрут system.temporary для загрузки полного файла конфигурации Drupal, не имея полномочий администратора и прав на экспорт конфигурации.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/45197-drupal

Ключевые слова: drupal

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (21)

1.1, th3m3 (ok), 19:54, 22/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Drupal превратился в какое-то решето. Догоняет всякие там Jooml'ы и DLE.

2.3, Володя (??), 20:14, 22/09/2016 [^] [^^] [^^^] [ответить]	+/–
Это точно!

2.4, demimurych (ok), 20:19, 22/09/2016 [^] [^^] [^^^] [ответить]	+3 +/–
эта тенденция началась с 7 ветки. когда собственно самого друпала не стало.

1.2, Anonim (??), 20:02, 22/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+11 +/–
Jooml'ы и DLE тоже не стоят на месте, догнать их будет непросто

1.5, BoToHokakoeHaLLleeTo (?), 20:48, 22/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
ничотак

1.6, Незнамокто (?), 20:57, 22/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Что такое web-контент? Почему не web-content? Или хотя бы веб-содержимое/наполнение или ещё как-то, но по-русски?

2.7, Регестрация666 (?), 21:29, 22/09/2016 [^] [^^] [^^^] [ответить]	+/–
Паутиний животъ.

2.8, Анонимум (?), 21:30, 22/09/2016 [^] [^^] [^^^] [ответить]	+2 +/–
Лучше веб-контент. Иностранные термины в технике - норма со времён Петра I, а вот писать их латиницей - это да, моветон.

2.10, Аноним (-), 21:32, 22/09/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Что такое веб содержимое слэш наполнение?

3.18, gogo (?), 18:08, 23/09/2016 [^] [^^] [^^^] [ответить]	+/–
Это вэб из которого вычли содержимое, разделенное на наполнение. В остатке получается информация ; )

4.21, Аноним (-), 15:23, 25/09/2016 [^] [^^] [^^^] [ответить]	+/–
> В остатке получается информация ; ) Если из веба вычесть содержимое, то останется реклама, а не информация.

2.15, Аноним (-), 04:26, 23/09/2016 [^] [^^] [^^^] [ответить]	+2 +/–
> но по-русски? Паутинное наполнение, во! Достойный ответ хорошилищу на ристалище.

1.9, JavaC (?), 21:31, 22/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Во всём виновата убогая Symfony!

2.11, dewrwerwe (?), 22:48, 22/09/2016 [^] [^^] [^^^] [ответить]	+/–
Им очень стыдно

1.12, яя (?), 23:22, 22/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
друпал стал такой медленный, что подобные уязвимости уже не проблема. его просто никто не использует уже.

1.13, QuAzI (ok), 23:54, 22/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
в 7.50 фиксы не собираются вносить?

2.14, й (?), 01:25, 23/09/2016 [^] [^^] [^^^] [ответить]	+/–
если сходить по security advisory в новости, можно узнать, что эти дыры только в восьмой версии

1.16, YetAnotherOnanym (ok), 14:09, 23/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Уязвимости - это проблема заказчика сайта. Современного талантливого и продуктивного веб-дизайнера это не касается.

1.17, Аноним (17), 14:17, 23/09/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Друпал - это мешанина из глобалов? Вон в официальных доках https://www.drupal.org/node/618490 предлагают юзать глобалы. Не удивлюсь если там во вьюхах SQL, а HTML перемешан с контроллерами и моделями.

2.19, Мимо крокодил (?), 22:06, 23/09/2016 [^] [^^] [^^^] [ответить]	+/–
Drupal не MVC

3.20, Аноним (-), 04:49, 24/09/2016 [^] [^^] [^^^] [ответить]

+/–

> Drupal не MVC

А по сути очень похоже. Только по-другому называется. Модули в качестве Controller, темы и блоки в качестве View. Не?

(я его совсем немного и сравнительно давно тыкал, могу что-то важное забыть, конечно)

Добавить комментарий

Текст: