PHP.SU

Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Без описания
DeepVarvar Супермодератор
Отправлено: 20 Июня, 2015 - 09:54:20
Post Id



Активный участник


Покинул форум
Сообщений всего: 10421
Дата рег-ции: Дек. 2008  
Откуда: Альфа Центавра


Помог: 353 раз(а)




Ну конечно же.
Я добрые новости не приношу.

Для тех, кто не умеет в англицкий:

Друпал 6 и 7.

1) Критическая. Модуль OpenID. Можно войти под другим пользаком, втом числе и админом и угнать аккаунт.
2) Средне-критическая. OpenID. Можно перенаправить пользака на сторонний сайт, угнать токен, далее пункт 1.
3) Средне-критическая. Кеш. Можно подсмотреть скрытый правами доступа контент.
4) Средне-критическая. Можно перенаправить пользака на сторонний сайт (вне модуля OpenID).

Таблетка: обновиться до 7.38 или 6.36.
Но я бы вообще его не использовал.
А кто уже на него подсел -- ССЗБ.

Источник: https://www[dot]drupal[dot]org/SA-CORE-2015-002
 
 Top
Ch_chov
Отправлено: 20 Июня, 2015 - 11:18:35
Post Id



Постоянный участник


Покинул форум
Сообщений всего: 2118
Дата рег-ции: Июль 2008  
Откуда: из города


Помог: 87 раз(а)




OpenID не обязательный модуль, и по умолчанию отключен. Очень не многие сайты его используют. К тому же уязвимость работает только для некоторых OpenID провайдеров. С учётом этого вероятность про эксплуатировать уязвимость на каком то конкретном сайте очень мизирная.
А если сайт регулярно обновляется то проблема вообще отсуствует.
 
 Top
Страниц (1): [1]
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Новости веб-технологий »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
 



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB