Главное Авторские колонки Вакансии Образование
Выбор редакции:
972 2 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Проблемы безопасности Drupal

По сообщению OpenNet, история с выявлением критической уязвимости (CVE-2014-3704) в системе управления web-контентом Drupal получила неожиданное продолжение.
Мнение автора может не совпадать с мнением редакции

"Разработчики Drupal опубликовали экстренное заявление, в котором объявили, что все системы на основе Drupal 7, которые в течение семи часов не успели обновить до версии 7.32, следует считать скомпрометированными. 15 октября в 11 часов (GMT) зафиксировано начало автоматизированной массовой атаки на сайты, в результате которой была развёрнута кампания по скрытой установке бэкдоров.

Обновление уже атакованных систем до версии 7.32 не решает проблемы, бэкдор останется активен. Более того, после внедрения бэкдора в некоторых случаях атакующими производилось применение патча, закрывающего уязвимость для блокирования повторных атак на систему. Иными словами, если на сайте уже закрыта уязвимость, но администратор не применял патчи, то это является одним из индикаторов компрометации. Более того, некоторые виды атак невозможно отследить, так как они не были связаны с изменением кода, а лишь привели к выгрузке содержимого БД, включая базу пользователей. Кроме того, зафиксировано применение различных способов внедрения бэкдора - от изменения содержимого БД до правки PHP-кода, размещения новых PHP-файлов и проведения атак на смежные web-сервисы.

Так как нельзя полностью быть уверенным в отсутствии атаки, пользователям Drupal, которые сразу не установили обновление, рекомендуется изменить пароли и восстановить содержимое своих сайтов из резервной копии, созданной до 15 октября, или провести детальный аудит всех изменений. При этом нельзя исключить, что атакующие могли воспользоваться другими уязвимостями для повышения своих привилегий в системе и их деятельность может не ограничиться атакой на Drupal."

Новость: https://www.drupal.org/PSA-2014-003

Детали: http://www.opennet.ru/opennews/art.shtml?num=40844

+4
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Ололо Ололо
Я не фанат теории заговора, но с учётом роста влияния и повышения активности Acquia можно сделать выводы в сторону того, что поддерживать Drupal 7 будут не так рьяно и долго как это было с Drupal 6.

Ждём Drupal 8 в полноценный релиз, а вместе с этим и кучу криков о том, что Drupal стал сложнее и менее дружелюбным для желающих сделать себе сайт самостоятельно.
Ответить
Хостинг и VPS
Честный хостинг без тарифов и ограничений
Dmitry Shilyaev
В любом продукте рано или поздно находится дыра. Нужно использовать проактивные средства, если сайт критичен для бизнеса. Как минимум - рабочий бэкап )))
Ответить
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.