В системе управления web-контентом Drupal выявлена (https://www.drupal.org/psa-2016-001) критическая уязвимость, позволяющая атакующему выполнить свой PHP-код на сервере. Уязвимость затрагивает только Drupal 7.x и присутствует в наборе contrib-модулей. Несмотря на то, что ядро Drupal проблеме не подвержено, по оценке разработчиков уязвимость присутствует в достаточно популярных модулях, охватывающих до 10 тысяч сайтов. Список проблемных модулей и патч с устранением уязвимости будет опубликован (https://www.drupal.org/security/contrib) сегодня в 19 часов вечера (MSK). Пользователям Drupal, использующим дополнительные модули, рекомендуется спланировать оперативную установку обновления. Дополнение: уязвимости присутствуют в модулях "Webform Multifile (https://www.drupal.org/node/2765573)", "Coder (https://www.drupal.org/node/2765575)" (для атаки не обязательно включение модуля, достаточно его наличия) и "RESTful Web Services (https://www.drupal.org/node/2765567)".
URL: https://www.drupal.org/psa-2016-001 Новость: https://www.opennet.ru/opennews/art.shtml?num=44780
|