Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Drupal: opublikowano wysoce krytyczną podatność. Bez uwierzytelnienia można przejmować serwisy / serwery!
Drupal właśnie opublikował łatę na podatność umożliwiającą zdalne wykonywanie kodu na serwerze – bez uwierzytelnienia. Podatność otrzymała ranking 21/25 wg skali Drupala (highly critical). Do 23/25 zabrakło tylko faktu, że nie ma publicznie dostępnych exploitów, które jednak zapewne zaraz się pokażą (w końcu mamy do czynienia z rozwiązaniem OpenSource).
Powtórzmy raz jeszcze, nie ma żadnych ekstra wymagań do wykorzystania podatności – nie trzeba być uwierzytelnionym, atak jest prosty do przeprowadzenia, działa w domyślnej konfiguracji Drupala i daje możliwość wykonania kodu na serwerze.
Podatne są wersje 6/7/8, a załatano problem w wersjach 7.58 (linia 7.x) oraz 8.5.1 (linia 8.x).
Dla wersji 6 nie wypuszczono patcha. Dodatkowe informacje (FAQ) można znaleźć tutaj. W tym miejscu z kolei – mały hint o co technicznie chodzi w całym problemie.
Zupełnie na deser zostawiamy kilka innych podatności (oznaczonych jako critical), które również zostały załatane w ostatnich wersjach Drupala.
–ms
Zatem niebawem z w/w powodu część nowych maszyn dołączy do botnetu/botnetów :)
Sweet. No to czekamy na exploit.
A kogo tam obchodza aktualizacje? Z doswiadczenia wiem ze jesli samodzielnie po dobroci kosztem wlasnego weekendu nie wykonasz ludziom aktualizacji to chocby cala operacja miala ich kosztowac dwa czy trzy klikniecia (plus zaalogowanie) to sami tego nie zrobia, bo skoro dziala to po co psuc? No a pozniej Grazyna z Januszem narzekaja ze zly webmaster zrobil im strone ktora przestala dzialac.
Dodaj do umowy klauzule mówiącą o aktualizacji oraz jasno o tym informuj. Zrzuci to z Ciebie ewentualną odpowiedzialność i będziesz miał argument przeciwko Grażynie i Januszowi.