| 1.1, Аноним (1), 10:59, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +16 +/– |
Судя по обилию комментариев, все местные эксперты побежали обновляться.
| | |
| |
| |
| 3.16, пох. (?), 13:28, 21/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
У него автообновление, как у всех нормальных пацанов. С утра уже починил все 3d-party плагины которые оно поломало, и спит себе до обеда.
| | |
| |
| |
| 5.49, пох. (?), 23:11, 21/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
ну выключил те что не чинятся, и спи теперь до ужина.
А чо, варианты как будто есть? ;-)
| | |
|
|
|
| 2.59, Pilat66 (?), 14:39, 22/11/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Да просто друпал продолжают использовать только те, кто вообще не читает рассылки по безопасности. Остальные давно о нём забыли.
| | |
| |
| 3.64, гшшг (?), 17:10, 22/11/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Перешли на вордпресс наверное?
Или если ваше смс никому не нужно, то оно безопаснее?
| | |
|
|
| |
| 2.3, Ordu (ok), 11:19, 21/11/2020 [^] [^^] [^^^] [ответить]
| +12 +/– |
 Дело фрактала живёт. Теперь сишные дырени проникают в обсуждения без каких-либо усилий с его стороны.
| | |
| |
| 3.6, YetAnotherOnanym (ok), 11:41, 21/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP находили критические уязвимости едва ли не каждый день, остались в прошлом.
| | |
| |
| 4.32, пох. (?), 17:22, 21/11/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Напомните, давно ли была уязвимость в php-fpm? ;-) RCE, afair?
Которую еще и отказались исправлять в "нимоднанимодна, все, eol, мы обмазываемся только свеженьким" пятых версиях.
А уязвимость в phar - просто объявлена notabug, closed. Времена когда критические уязвимости признавали таковыми - видать да, давно прошли, и не только в php.
| | |
|
|
|
| 1.7, Аноним (8), 11:42, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Уязвимость так и называется Drupal заражает сервера под управлением Линукс.
| | |
| 1.9, Аноним (9), 11:53, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> позволяет загрузить файл вида filename.php.txt, который в определённых серверных конфигурациях при обращении будет выполнен как PHP-код
а с чего это вообще уязвимость? Где такие _серверные_ конфигурации, которые имя файла режут и исполняют?
| | |
| 1.12, Аноним (12), 12:05, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
Белки-истерички какие-то.
Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php, это исключительно проблема места произрастания рук администратора этого сервера.
Друпал, как и любой другой скрипт для аплоада, к этому отношение имеет нулевое.
А тут аж cve, да ещё и critical.
| | |
| |
| 2.17, пох. (?), 13:38, 21/11/2020 [^] [^^] [^^^] [ответить] | –7 +/– | include filename php txt Ну покажи, покажи же нам, не стесняйся да не, эти... большой текст свёрнут, показать | | |
| |
| 3.20, Аноним (9), 14:00, 21/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> include('filename.php.txt')
И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include
Только проблема будет не в загруженном, а в файле с инклудом.
| | |
| |
| 4.22, пох. (?), 14:21, 21/11/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И какое отношение это имеет к проблеме? Ну, загрузят filename.txt и сделают такой же include
вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить, а txt не будут исполнять. Но в regex забыли $ после php, поэтому вышла такая фигня.
> Только проблема будет не в загруженном, а в файле с инклудом.
Так это весь дрюпал и есть.
| | |
|
| 3.40, Аноним (12), 19:10, 21/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
И откуда этот include взялся? Либо ты его сам написал, либо в коде есть уязвимость с include injection - и в этом случае закрывать надо именно include injection, а не как индус лечить симптомы.
| | |
|
|
| |
| 2.26, Аноним (18), 15:25, 21/11/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Причём сложность написания своего даже меньше, чем что-то под друпал разрабатывать.
| | |
|
| 1.27, DEF (?), 16:03, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Дрюпал еще жив? Вордпресс почти все завхватил уже, вытеснив остальные ЦМСки.
| | |
| 1.28, смузихлёб (?), 16:26, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Кто-то в 2к20 пользуется ещё Друпалом? Таких веб-сайтов меньше половины процента наверное.
| | |
| 1.29, Alex_K (??), 16:33, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Проблеме подвержены скорее всего конфигурации с
AddType application/x-httpd-php .php
Наиболее же безопасным является
<FilesMatch "\.php$">
SetHandler application/x-httpd-php
</FilesMatch>
| | |
| |
| 2.31, пох. (?), 17:19, 21/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, проверь и убедись что с .php.txt у тебя получится text/plain
Апач, знаешь ли, писали не настолько альтернативно-одаренные.
| | |
| |
| |
| |
| 5.50, пох. (?), 23:14, 21/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Но addhandler используется в реальной жизни примерно никем, а в нереальной - с ооочень редкой экзотикой, причем мертвой уже лет пятнадцать как.
Для php уж точно никем и никогда, это какое-то совсем шизофреническое извращение.
В любом случае, не вижу как такое можно исправить _друпалом_. Очевидно, что проблема исправляемая внутри друпала - она в друпале, а не в апаче.
| | |
| |
| 6.63, Аноним (63), 16:55, 22/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Ну, друпал часто ставят на васян-хостинги, настроенные копипастой со stackoverflow, потому я могу понять озабоченность.
Но cve это перебор, да.
| | |
|
|
|
|
| 2.38, Аноним (12), 19:00, 21/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Все нормально будет с addtype.
А вот если в регулярке забудешь конечный доллар - получится как раз искомое.
| | |
| |
| 3.53, пох. (?), 23:21, 21/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Угу, как обычно у белок-истеричек. В борьбе за видимость безопасности - как раз и заменяют надежное дубовое решение - дырявым by design.
| | |
|
|
| |
| 2.33, Аноним (-), 17:38, 21/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>Друпал еще жив? Я думал еще году в 2010 всё
Если ты жив значит и Друпал жив.
| | |
|
| 1.41, jura12 (ok), 19:39, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 нормально все. обычная практика обновлять движёк. курирую 4 сайта друпал.
| | |
| 1.43, Dzen Python (ok), 20:36, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Иэх. Предчувсвую очередную боль у админов старой - работает, не трожь - закалки. Тут же трогать надо, обновлять, тестить...
| | |
| |
| 2.45, Аноним (45), 21:04, 21/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Думаешь у них дело дойдет до "тестить"? Свлится - будут исправлять, а пока работает - не трогать!
| | |
| |
| 3.52, пох. (?), 23:17, 21/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Учитывая что речь о друпале - разумеется, свалится. Или отвалятся модули, или развалится самописная глагна. Когда б оно бывало иначе. Так что чего там тестить - сразу можно идти чинить.
| | |
| |
| |
| 5.65, пох. (?), 23:56, 22/11/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
На одном стуле - пики точены,а на другом тоже так себе наборчик.
В целом не вижу поводов для смены платформы, какая бы из двух она не была.
| | |
|
| 4.69, хоп (?), 11:59, 24/11/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не выдумывайте. В данном случае для D7 патч на 440 строк правит три файла, из которых два файла и 330 строк -- это юнит-тесты, а оставшееся -- переименовыватель foo.php.txt в foo.php_.txt
| | |
|
|
|
| 1.48, Аноним (48), 22:45, 21/11/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А главное что в патче есть переменная whitelist несмотря на то что они первые под педиков прогнулись.
| | |
| |
| 2.51, пох. (?), 23:16, 21/11/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Мерзавцы! Как они смеют! Срочно на колени перед неграми, и сосат!
Ты уже прислал им гневный pr? Или опять все самому делать надо?
| | |
| |
| |
| 4.61, пох. (?), 15:29, 22/11/2020 [^] [^^] [^^^] [ответить]
| –4 +/– | |
Это тебе придется, самому. У моих предков, к сожалению, никогда не было даже одного чорного раба, не защитается.
| | |
| |
| 5.66, Аноним (18), 02:50, 23/11/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> к сожалению, никогда не было даже одного чорного раба
Сочувствую... К соседским ходили с..ть?
| | |
|
|
|
|
|
