The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В системе управления web-контентом Drupal устранена критичес..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от opennews (ok) on 27-Фев-16, 00:11 
В корректирующих выпусках (https://www.drupal.org/drupal-8.0.4) системы управления web-контентом  Drupal 8.0.4, 7.43 и 6.38 устранена серия из 10 уязвимостей (https://www.drupal.org/SA-CORE-2016-001), одна из которых помечена как критическая и требует незамедлительной установки обновления. Проблема проявляется в Drupal 6 и позволяет обойти правила доступа и добавить произвольный контент на страницу, например, разместить свой код JavaScript. Для эксплуатации уязвимости у атакующего должен быть доступ к web-форме отправки данных, в которой присутствуют кнопки с расширенными функциями, доступными только администратору (универсальные формы, доступ к которым имеют как обычные пользователи, так и администраторы). Несмотря на то, что предназначенные для администратора кнопки скрываются, их можно использовать при указании в отправляемом запросе.

URL: https://www.drupal.org/drupal-8.0.4
Новость: https://www.opennet.ru/opennews/art.shtml?num=43946

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В системе управления web-контентом Drupal устранена критичес..."  –1 +/
Сообщение от vn971 (ok) on 27-Фев-16, 00:11 
Спасибо за новость.

Серверов с друпалом по счастью у меня нет, поэтому посмеяться можно от души:

> Несмотря на то, что предназначенные для администратора кнопки скрываются, их можно использовать при указании в отправляемом запросе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от Disaron (??) on 27-Фев-16, 10:53 
Да чего смеяться, просто популярность чуть подросла и на drupal обратили внимание. Все будет хорошо. Сейчас первая волна дыр, которые более популярные CMS уже пережили пофиксятся и все будет как у всех.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от vn971 (ok) on 27-Фев-16, 11:05 
Нет, ну такой подход называется халтурностью.

"Фиксить скьюрити-баги по мере обнаружения". Для "фич" да, так и надо - добавляем по мере надобности. Но каждый секьюрити-баг я считаю хотя бы маленьким, но фак-апом. Тут популярность и волны ни при чём. По крайней мере, таково моё мнение.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от Disaron (??) on 27-Фев-16, 12:03 
>Нет, ну такой подход называется халтурностью.

В данном конкретном случае, который выражается в отсутствии контроля прав на стороне сервера - возразить нечего. Такие вещи должны делаться раньше контроля на стороне клиента (в данном случае выражающемся в тупом скрытии контролов).

А вот в остальных случаях (если пройти по ссылке) не соглашусь. Да и вообще как пофиксить проблему, если не знаешь о проблеме? А количество выявляемых уязвимостей пропорционально популярности. Ну никому не интересно копаться в движке, если его всего 5% от рынка бесплатных, а во всем остальном рынке и того меньше. Профит минимален, а то и вообще в минус - времени затратишь больше на поиск дыры, чем получишь эффекта от ее использования.

Доставило: Saving user accounts can sometimes grant the user all roles (User module - Drupal 6 and 7 - Less Critical)

Т.е. возможность получения полного набора полномочий это less critical?


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от Aleks Revo (ok) on 29-Фев-16, 02:21 
> как пофиксить проблему, если не знаешь о проблеме?

Моделировать варианты входных данных и исполнения алгоритма. Взломщик занимается ровно тем же самым.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от Disaron (ok) on 02-Мрт-16, 07:46 
Вообще, представляешь последствия этого?

1. У программ появится алгоритм
2. Код станет гораздо более простым и понятным
3. Большая часть дыр уровня детского сада просто перестанет существовать как класс
4. Резко упадет потребность в рефакторинге и временные затраты на латание косяков
5. На улице окажется МОРЕ быдлокодеров
6. Социальная неудовлетворенность последних, митинги, нападения на людей...

дальше не буду продолжать... )

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

7. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от _ (??) on 27-Фев-16, 17:07 
>Нет, ну такой подход называется халтурностью.

"А кто без греха, тот пусть первый кинет в меня камень!" - умный сказал чел, даже святой :)
А ещё - "Если бы строители строили дома с таким же качеством, как программисты создают программы ... первый же залетевший дятел уничтожил бы цивилизацию!" :)

>"Фиксить скьюрити-баги по мере обнаружения".

А что - уже придумали хоть какой то другой метод?

>Для "фич" да, так и надо - добавляем по мере надобности.

Довожу месячный план для группы разработки:
Пофиксить секурити-багов:
- критических: 32.5
- не критических: 100500

Самому не смешно? Впрочем ты у нас сурьёзный ребёнок, стратег будущий (у мамки).

>Но каждый секьюрити-баг я считаю хотя бы маленьким, но фак-апом.

И что?
>Тут популярность и волны ни при чём. По крайней мере, таково моё мнение.

Мнение доставило, пишы ищо :-/

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "В системе управления web-контентом Drupal устранена критичес..."  –1 +/
Сообщение от Aleks Revo (ok) on 29-Фев-16, 02:28 
>>Нет, ну такой подход называется халтурностью.
> "А кто без греха, тот пусть первый кинет в меня камень!" -
> умный сказал чел, даже святой :)

Умный человек знал, что тот, кто признает себя безгрешным - пойдёт против центральной религиозной догмы и тем самым напросится на то, чтоб самого закидали камнями. У нас же всё проще, по шее надают без оглядки на догматы )))

> А ещё - "Если бы строители строили дома с таким же качеством,
> как программисты создают программы ... первый же залетевший дятел уничтожил бы
> цивилизацию!" :)
>>"Фиксить скьюрити-баги по мере обнаружения".
> А что - уже придумали хоть какой то другой метод?

Да, баги давно поклассифицированы, и по сути являются типовыми.

> Мнение доставило, пишы ищо :-/

Хотя, чего это я тут с бисером перед вечно голодным?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от Michael Shigorin email(ok) on 03-Май-16, 06:46 
> Умный человек знал, что тот, кто признает себя безгрешным - пойдёт против
> центральной религиозной догмы

Почему бы тогда "Они же, услышав то и будучи обличаемы совестью, стали уходить один за другим, начиная от старших до последних"?

PS: прошу прощения, совсем случайно наткнулся, но промолчать не могу.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

5. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от adnu on 27-Фев-16, 13:51 
типичное php, хотя drush up по крону не заставляет парится
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "В системе управления web-контентом Drupal устранена критичес..."  +/
Сообщение от Disaron (ok) on 27-Фев-16, 14:00 
Автоапдейт? В продакшене? Без тестирования своих расширений на B/C?

Не, ну если перед этим делается бекап, и ресурс не активно используется, то в редких случаях прокатит...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру