Сообщество Drupal выпустило рекомендации по противодействию критической уязвимости SA-CORE-2014-005
2Иллюстрация с сайта nixp.ru
15 октября команда безопасности Drupal опубликовала бюллетень с высоко критической уязвимостью SA-CORE-2014-005 (CVE-2014-3704), которой могут быть подвержены абсолютно все сайты на Drupal 7. Позавчера команда опубликовала рекомендации по устранению проблемы.
В Drupal Core обнаружили критическую уязвимость, позволяющую выполнить SQL-инъекцию от анонимного пользователя. Злоумышленники начали эксплуатировать уязвимость в автоматическом режиме спустя несколько часов, атаки направлены на сайты, использующие Drupal ниже 7.32, и без установленного патча. Команда безопасности рекомендует всем вебмастерам исходить из предпосылки, что скомпрометирован каждый сайт на Drupal 7, который не был обновлён или пропатчен в течение 7 часов с момента публикации уязвимости, то есть до 23 часов (UTC) 15 октября или 3 часов 16 октября (UTC+4, МСК).
Чтобы устранить эту уязвимость, веб-мастеру необходимо немедленно обновить Drupal до версии 7.32 или наложить патч, если обновление невозможно. Однако обновление не поможет, если сайт уже скомпрометирован. Также наблюдается ситуация, когда злоумышленники обновляют сайт, чтобы скрыть следы взлома и создать иллюзию контроля над сайтом. При взломе атакующая сторона получает доступ ко всем данным и может их скопировать — эту атаку сложно обнаружить. В документации подробно описано, как можно поступить с сайтом в случае заражения.
Также злоумышленники могли заложить бэкдоры на сайт, модифицировать код или файлы на сервере, скомпрометировать другие сервисы и повысить привилегии. Т.к. обнаружить все возможные бэкдоры — это очень сложная задача, команда безопасности Drupal рекомендует создать сайт «с нуля» или восстановить резервную копию сайта не позднее 16 часов (UTC) 15 октября, чтобы избежать части этих последствий. Подробнее об этом написано в рекомендациях.
Постоянная ссылка к новости: http://www.nixp.ru/news/12922.html. Никита Лялин по материалам Drupal.Org, Drupal.Org.
Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях
Для веб-сервера Apache реализована упрощённая поддержка SSL/TLS-сертификатов Let's Encrypt 2
NGINX Unit — новый сервер приложений и основа для service mesh от создателей веб-сервера nginx 1
Уязвимостью SambaCry воспользовались для майнинга криптовалюты Monero на Linux-компьютерах
Drupal 8.0.0 — новая версия популярного движка для сайтов с открытым кодом на PHP 4 5
28-29 ноября в Москве пройдет конференция по свободной CMS Drupal — DrupalCamp MSK 2014 1 1
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Спасибо за новость! Очень актуально.