|
 В края на миналия месец беше открита и запушена сериозна уязвимост в Drupal. Ставаше въпрос за критичен проблем, позволяващ отдалеченото изпълнение на код към уеб ресурс на основата популярната CMS платформа, с който атакуващата страна може да поеме пълен контрол над сайта. CVE-2018-7600 получи свое име – Drupalgeddon2. За съжаление, предупрежденията на специалистите се оказаха верни и атаките не закъсняха, а за това помогна и анализатор по сигурността, който качи в Интернет, експлойт код. Вече ви съобщихме за две кампании – включването на експлойт за уязвимостта в огромен ботнет и кампания, при която пострада сайтът на украинското енергийно министерство. Вчера пък, екипите, които се грижат за сигурността на Drupal издадоха кръпка за още една уязвимост – CVE-2018-7602. Тя е свързана отново с Drupalgeddon2 и подобно на CVE-2018-7600, бива експлоатирана активно от хакери в Интернет – налагането ? е задължително. Версиите, които я адресират са 7.59, 8.4.8 и 8.5.3. Drupal съветват, ако налагането на новата версия не е възможно за администраторите в настоящия момент, те да използват отделен пач за нея. Той обаче ще проработи само, ако е било наложено обновлението, покриващо оригиналния Drupalgeddon2. |
|
