1. Главная
  2. Форумы
  3. Общие
  4. Новости из мира Drupal

Вышла пачка критических уязвимостей ядра Drupal разных версий

Главные вкладки

Аватар пользователя seaji seaji 21 ноября 2024 в 13:53
1

Сегодня меня почта порадовала пачкой сообщений в рассылке "Security News" от команды по безопасности Друпала.

Вот что имеем на данный момент

Drupal core - Critical - Cross Site Scripting - SA-CORE-2024-005

Риск: Critical 17 ∕ 25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
Затрагивает: Drupal 7

В Drupal 7 модуль Overlay небезопасно работает с пользовательским вводом, что может привести к межсайтовому скриптингу при определенных обстоятельствах.

Выхода два

  • Обновиться до Drupal 7.102
  • Отключить модуль Overlay

Это самая большая угроза. Остальные поменьше

Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2024-003

Риск: Moderately critical 13 ∕ 25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Затрагивает: >= 8.8.0 < 10.2.11 || >= 10.3.0 < 10.3.9 || >= 11.0.0 < 11.0.8

Drupal использует JavaScript для рендеринга статусных сообщений в некоторых случаях и конфигурациях. При определенных обстоятельствах статусные сообщения не проходят соответствующую очистку, что может привести к межсайтовому скриптингу.

Лечение

  • Drupal 10.2, обновить до Drupal 10.2.11.
  • Drupal 10.3, обновить до Drupal 10.3.9.
  • Drupal 11.0, обновить до Drupal 11.0.8.

Drupal core - Moderately critical - Gadget chain - SA-CORE-2024-008

Риск: Moderately critical 14 ∕ 25 AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
Затрагивает: >= 8.0.0 < 10.2.11 || >= 10.3.0 < 10.3.9

Ядро Drupal содержит потенциальную уязвимость PDO, которая при сочетании с другим эксплойтом может привести к удаленному выполнению кода. На прямую эту уязвимость использовать нельзя.

Затрудняет использование этой уязвимости то, что должна присутствовать другая уязвимость, позволяющая передавать опасный инпут в unserialize(). Такие эксплойты для ядра Друпал неизвестны.

Лечение

  • Drupal 7, обновить до Drupal 7.102.
  • Drupal 10.2, обновить до Drupal 10.2.11.
  • Drupal 10.3, обновить до Drupal 10.3.9.

Еще две уязвимость про тоже самое.

https://www.drupal.org/sa-core-2024-007

https://www.drupal.org/sa-core-2024-006

Последняя может приводить к удалению файлов.

Комментарии

Аватар пользователя seaji seaji 22 ноября 2024 в 11:14
1

Автоматическое обновление - вещь конечно удобная, но на больших проектах этим лучше не увлекаться.
На больших проектах обновление это целый процесс, его нужно запланировать, предупредить пользователей, создать бэкапы.
Поэтому для больших проектов и нужно читать описание уязвимостей, что бы понять, а надо ли оно вообще вам, или можно отложить.

Аватар пользователя chei1ahJoh8K chei1ahJoh8K 22 ноября 2024 в 22:13

Отложить нельзя. Они к примеру критические. Многие к этому не серьёзно относятся.
Действительно надо делать некототое различение в целесообразности автоматических обновления. Наверно подходит для мелких, средних и не зависящих от дохода с сайта проектов. Думаю таких сайтов большинство.

Аватар пользователя Andruxa Andruxa 21 мая в 12:38
2

Вышло обновление безопасности для Drupal 10-11, для 8-9 обещали патчи, 7 не затронуло.
Официально: https://www.drupal.org/psa-2026年05月18日
Вкратце: SQL-иньекция в драйвере PostgreSQL, MySQL не задело.
PoC: https://github.com/dinosn/drupal-sa-core-2026-004-lab

Логотип drupal.ru

Содержимое сайта публикуется на условиях CreativeCommons Attribution-ShareAlike 3.0 или более поздней версии. Программные коды в тексте статей — на условиях GNU GPL v2 или более поздней версии.

Документация по совместной работе с репозиторием drupal.ru – https://docs.drupal.ru/code

Drupal – торговая марка Дриса Бёйтарта

12+

AltStyle によって変換されたページ (->オリジナル) /