Drupal после обновления может стать сыром — таким же дырявым


Один из экспертов выявил несколько проблемных моментов в системе обновления CMS Drupal. На текущий момент исправлений для найденных уязвимостей разработчики не предложили.

Вместе с Wordpress и Joomla Drupal входит в тройку лидирующих бесплатных CMS. И также как у коллег в коде Drupal есть неприятные моменты.

Разработчики CMS стремятся как можно сильнее упростить процесс обновления ПО. Однако такие усилия могут приводить к совершенно другому результату.

Эксперт выявил странный алгоритм работы автоматического обновления Drupal. Если в процессе получения обновления возникли проблемы со связью, то CMS все равно выдает сообщение о наличии актуальных последних версий модулей, хотя свежий софт не мог быть получен. Причем такие проблемы возникают в версиях 7 и 8, а версия 6 Drupal все-таки выдает сообщение об обрыве соединения.

Нажатие на кнопку ручного обновления в таких ситуациях может привести к бесконечной черед запросов к серверу drupal.org.

Также апдейты пересылаются без шифрования и без проверок аутентификации. Таким положением можно воспользоваться для перехвата трафика и внедрения зловредного кода.

Эксперт сумел воспользоваться уязвимостями, установить на тестовый сайт зараженную версию обновления и получил доступ к паролям пользователей.

Огорчает то, что разработчики в курсе уязвимостей с 2012 года, но работы по устранению дыр начаты только недавно. Патчи для устранения потенциальной опасности пока не выходили.


Ошибка в тексте

Послать сообщение об ошибке администратору?
Ваш браузер останется на той же странице.

Ваше сообщение отправлено. Спасибо!

Окно закроется автоматически через 3 секунды

Наверх