Рекомендуем почитать:
Разработчики Drupal исправили критическую уязвимость (CVE-2019-6342) в своей CMS, которая могла использоваться для полного захвата контроля над уязвимы сайтом.
Проблема угрожала только Drupal 8.7.4, Drupal 8.7.3 и более ранним версиям, то есть Drupal 8.6.x, Drupal 7 .x и более ранние версии этих веток не были подвержены багу.
Разработчики поясняют, что баг связан с экспериментальный модулем Workspaces. Если тот включен в Drupal 8.7.4, создаются условия обхода защиты.
Уязвимость была исправлена в релизе Drupal 8.7.5. Подчеркивается, что исправление будет применяться только к уязвимым сайтам, на которых работает update.php . Его включение — это обязательный шаг, который необходимо будет сделать вручную при обновлении до Drupal 8.7.5.
«Сайтам с включенным модулем Workspaces необходимо запустить update.php, чтобы обеспечить очистку кеша. Если используется обратный прокси-кеш или сеть доставки контента (например, Varnish, CloudFlare), также желательно их очистить», — предупредили в Drupal.
Разработчики рекомендуют пользователям обновить CMS до версии 8.7.5 как можно быстрее, так как для атаки на уязвимый ресурс злоумышленнику достаточно просто перейти по определенному URL-адресу и без какой либо регистрации или аутентификации взаимодействовать с сайтом. К счастью, пока эксплоита для CVE-2019-6342 еще нет, поэтому у администраторов есть время для обновления.
Если же установка обновления по каким-то причинам невозможна, рекомендуется по крайней мере отключить уязвимый модуль Workspaces.
В настоящее время, согласно официальным данным, 290 958 сайтов используют Drupal 8.x (из 1 093 220 сайтов). Причем разработчики признают, что данная статистика является неполной: она включает лишь сайты, использующие модуль Update Status . Данный модуль был включен в состав Drupal начиная с версии 6.x, поэтому более старые ресурсы статистика попросту не охватывает.
Читайте также
Последние новости