Drupal после обновления может стать сыром — таким же дырявым
Один из экспертов выявил несколько проблемных моментов в системе обновления CMS Drupal. На текущий момент исправлений для найденных уязвимостей разработчики не предложили.
Вместе с Wordpress и Joomla Drupal входит в тройку лидирующих бесплатных CMS. И также как у коллег в коде Drupal есть неприятные моменты.
Разработчики CMS стремятся как можно сильнее упростить процесс обновления ПО. Однако такие усилия могут приводить к совершенно другому результату.
Эксперт выявил странный алгоритм работы автоматического обновления Drupal. Если в процессе получения обновления возникли проблемы со связью, то CMS все равно выдает сообщение о наличии актуальных последних версий модулей, хотя свежий софт не мог быть получен. Причем такие проблемы возникают в версиях 7 и 8, а версия 6 Drupal все-таки выдает сообщение об обрыве соединения.
Нажатие на кнопку ручного обновления в таких ситуациях может привести к бесконечной черед запросов к серверу drupal.org.
Также апдейты пересылаются без шифрования и без проверок аутентификации. Таким положением можно воспользоваться для перехвата трафика и внедрения зловредного кода.
Эксперт сумел воспользоваться уязвимостями, установить на тестовый сайт зараженную версию обновления и получил доступ к паролям пользователей.
Огорчает то, что разработчики в курсе уязвимостей с 2012 года, но работы по устранению дыр начаты только недавно. Патчи для устранения потенциальной опасности пока не выходили.
Новости
Новые цены на услуги от NetAngels. Это коснется хостингов, облачных серверов, БД18 декабря 2025, 09:54Дайджест Ноябрь 2025: скорое обновление Expert Review и Reboot
09 декабря 2025, 12:12Аренда выделенных серверов Intel Xeon — надёжные решения от Bitweb.ru
26 ноября 2025, 10:00Факторинг простыми словами: как работает инструмент финансирования в 2025 году
26 ноября 2025, 09:33Идеальные апгрейды к Черной пятнице от Рег.ру
26 ноября 2025, 09:22