Критична вразливість в Drupal 8

15.12.2017

Зараз багато веб-сайтів використовують Drupal. Нещодавно в ньому була виявлена нова критична уразливість. Розробники Drupal наполегливо рекомендують поступово оновити сайти до Drupal 8.3.1. (спочатку до версії 8.2.8, а потім — до 8.3.1). 

Важливо те, що критична вразливість Drupal Core - Critical - Access Bypass - SA-CORE-2017-002 дає змогу оминати права доступу. Хоча, сайт може бути уражений за таких умов:

На сайті активований модуль веб-служб RESTful (rest).

Сайт дає дозволи на PATCH запити.

Хакер має або може створити акаунт.

Зазвичай розробники не надають релізи безпеки для мінорних версій, які вони не підтримують. Та в цьому випадку вони представляють версію 8.2.8, враховуючи потенційну серйозність цієї проблеми. Це було зроблено для підтримки максимальної безпеки сайтів, які не в змозі відразу оновитись до Drupal 8.3.0.

Cхильними до ураження є версії Drupal 8, що передують 8.2.8 та 8.3.1. Drupal 7.x не є вразливим. Вирішення цієї проблеми виглядає таким чином:

Якщо ви використовуєте Drupal 8.2.7 або більш ранню його версію, оновіть її до 8.2.8;

Якщо користуєтесь версією 8.3.0, займіться її оновленням до Drupal 8.3.1.

Ресурс: https://www.drupal.org/SA-CORE-2017-002