Форумы портала PHP.SU » Разное » Новости веб-технологий » Друпал опять в глазах моих упал

Страниц (1): [1]
 

1. DeepVarvar - 20 Июня, 2015 - 09:54:20 - перейти к сообщению
Ну конечно же.
Я добрые новости не приношу.

Для тех, кто не умеет в англицкий:

Друпал 6 и 7.

1) Критическая. Модуль OpenID. Можно войти под другим пользаком, втом числе и админом и угнать аккаунт.
2) Средне-критическая. OpenID. Можно перенаправить пользака на сторонний сайт, угнать токен, далее пункт 1.
3) Средне-критическая. Кеш. Можно подсмотреть скрытый правами доступа контент.
4) Средне-критическая. Можно перенаправить пользака на сторонний сайт (вне модуля OpenID).

Таблетка: обновиться до 7.38 или 6.36.
Но я бы вообще его не использовал.
А кто уже на него подсел -- ССЗБ.

Источник: https://www[dot]drupal[dot]org/SA-CORE-2015-002
2. Ch_chov - 20 Июня, 2015 - 11:18:35 - перейти к сообщению
OpenID не обязательный модуль, и по умолчанию отключен. Очень не многие сайты его используют. К тому же уязвимость работает только для некоторых OpenID провайдеров. С учётом этого вероятность про эксплуатировать уязвимость на каком то конкретном сайте очень мизирная.
А если сайт регулярно обновляется то проблема вообще отсуствует.

 

Powered by ExBB FM 1.0 RC1