В Drupal обнаружена критическая уязвимость

В коде системы управления контентом Drupal обнаружена критическая уязвимость – SA-CORE-2018-004. Об этом сообщается на официальном сайте компании.

Уязвимость позволяет хакерам удалённо выполнять код на сайте на базе Drupal через «несколько векторов атаки». В компании рекомендуют обновить ПО до последних версий Drupal 7 или 8. Атаки с использованием этой уязвимости пока не обнаружены, но обновиться нужно как можно быстрее.

Drupal опубликовал обновлённые версии ПО на своём сайте. Разработчики рекомендуют следующие решения:

• При использовании версии 7.x, нужно установить Drupal59.
• При использовании версии 8.5.x, нужно перейти на Drupal5.3.
• При использовании 8.4.x, нужно обновиться до Drupal4.8.

Если возможность установить новую версию ПО отсутствует, то рекомендуется применить следующие патчи до полного обновления:

• Patch for Drupal 8.x (8.5.x и ниже)
• Patch for Drupal 7.x

Однако все эти решения будут работать только в том случае, если было проведено обновление после сообщения о ранее выявленной уязвимости – SA-CORE-2018-002.

«Команда безопасности выявила автоматические атаки, пытающиеся скомпрометировать сайты на Drupal 7 и 8, используя уязвимость SA-CORE-2018-002. В связи с этим, мы повышаем риск безопасности по этой проблеме до 24/25».

Сайты, которые не обновили ПО до 11 апреля 2018, могут быть скомпрометированными. Это та дата, когда стало известно о попытках автоматических атак. Предполагается, что эти атаки могли осуществляться и ранее.