Drupal после обновления может стать сыром — таким же дырявым
Один из экспертов выявил несколько проблемных моментов в системе обновления CMS Drupal. На текущий момент исправлений для найденных уязвимостей разработчики не предложили.
Вместе с Wordpress и Joomla Drupal входит в тройку лидирующих бесплатных CMS. И также как у коллег в коде Drupal есть неприятные моменты.
Разработчики CMS стремятся как можно сильнее упростить процесс обновления ПО. Однако такие усилия могут приводить к совершенно другому результату.
Эксперт выявил странный алгоритм работы автоматического обновления Drupal. Если в процессе получения обновления возникли проблемы со связью, то CMS все равно выдает сообщение о наличии актуальных последних версий модулей, хотя свежий софт не мог быть получен. Причем такие проблемы возникают в версиях 7 и 8, а версия 6 Drupal все-таки выдает сообщение об обрыве соединения.
Нажатие на кнопку ручного обновления в таких ситуациях может привести к бесконечной черед запросов к серверу drupal.org.
Также апдейты пересылаются без шифрования и без проверок аутентификации. Таким положением можно воспользоваться для перехвата трафика и внедрения зловредного кода.
Эксперт сумел воспользоваться уязвимостями, установить на тестовый сайт зараженную версию обновления и получил доступ к паролям пользователей.
Огорчает то, что разработчики в курсе уязвимостей с 2012 года, но работы по устранению дыр начаты только недавно. Патчи для устранения потенциальной опасности пока не выходили.
Новости
Новые тарифы на VDS у хостинга Спринтхост18 ноября 2024, 14:14Если вы используете Cloudflare для ваших сайтов, обратите внимание
07 ноября 2024, 13:49Бот против ботов. Кейс, как справиться со спамом в Телеграм
06 ноября 2024, 14:08Занимайте места на Эпик-Дзен
28 октября 2024, 13:32QWINS.co представил бюджетный тарифный план на заказ виртуального сервера
08 октября 2024, 12:51