В Drupal устранили критическую уязвимость, позволявшую обходить контроль доступа




09:23 24.04.2017 |   2843



Drupal — третья по популярности система создания сайтов после Wordpress и Joomla. На ней созданы сайты правительства США и Франции, мэрии Лондона, корпорации BBC и Оксфордского университета.

Разработчики системы управления контентом Drupal выпустили заплату для критической уязвимости, позволявшей обходить механизмы контроля доступа и ставившей сайты под угрозу взлома. Согласно внутренней системе оценки брешей Drupal, это не самая опасная уязвимость, однако по всей видимости, она является достаточно серьезной, поскольку разработчики выпустили заплату в том числе для версии Drupal, которая официально уже не поддерживается.

Сообщается, что уязвимыми являются сайты с включенной поддержкой веб-сервисов REST и запросов PATCH. Кроме того, атакующему нужна возможность регистрации нового аккаунта или доступ к существующему с любыми привилегиями.

Брешь не затрагивает ветку Drupal 7.x, но пользователям Drupal 8 рекомендуется обновиться до самой свежей версии, 8.3.1, либо перейти на 8.2.8.

По поводу уже не поддерживаемой ветви 8.2.x разработчики отмечают, что обычно не выпускают заплаты безопасности для старых точечных релизов, но учитывая потенциальную опасность бреши, решили предложить специальное обновление 8.2.8 для тех, кто еще не перешел на версию 8.3.

Drupal сегодня — третья по популярности автоматизированная система создания сайтов после Wordpress и Joomla. На ней созданы сайты правительства США и Франции, мэрии Лондона, корпорации BBC и Оксфордского университета.


Теги: Информационная безопасность Уязвимости Drupal
На ту же тему: