The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в системе управления web-контентом Drupal"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от opennews (??) on 19-Авг-17, 10:59 
Представлен (https://www.drupal.org/SA-CORE-2017-004) корректирующий выпуск системы управления контентом Drupal 8.3.7 (https://www.drupal.org/project/drupal/releases/8.3.7) в котором устранены три уязвимости. Уязвимость CVE-2017-6925 отнесена к категории критических проблем и позволяет получить неавторизированный доступ к средствам для просмотра, создания, обновления и удаления объектов. Уязвимость проявляется только для объектов, которые не используются, которым не присвоен UUID или которые имею разные ограничения доступа в разных ревизиях.


Вторая уязвимость CVE-2017-6923  отмечена как умеренно-критическая и позволяет получить доступ к представлениям, настроенным для обработки через Ajax, в обход заданным правилам доступа. Связанная с Ajax уязвимость также проявляется (https://www.drupal.org/PSA-2017-002) во многих сторонних модулях к Drupal 7 и 8, и позволяет получить данные, к которым ограничен публичный доступ. Третья уязвимость CVE-2017-6924 позволяет разметить комментарий через REST API, даже если пользователь не имеет полномочий на отправку комментариев и в обход системы подтверждения.


URL: https://www.drupal.org/SA-CORE-2017-004
Новость: http://www.opennet.ru/opennews/art.shtml?num=47052

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в системе управления web-контентом Drupal"  –2 +/
Сообщение от Аноним (??) on 19-Авг-17, 10:59 
GRAV
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Уязвимости в системе управления web-контентом Drupal"  +1 +/
Сообщение от Аноним (??) on 19-Авг-17, 12:35 
Какой же твой комментарий наивный, это примерно тоже самое если бы новость была
"В двигателе воздушного лайнера Боинг-737 найден заводской дефект"
а ты бы ответил
"Велосипед!"
Во-первых одно к другому не клеится ни разу, а во-вторых Drupal уже лет 6 вылизывают а Grav только из беты вылез, что по твоему более дырявое?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимости в системе управления web-контентом Drupal"  +8 +/
Сообщение от A.Stahl (ok) on 19-Авг-17, 12:40 
>Drupal уже лет 6 вылизывают а Grav только из беты вылез, что по твоему более дырявое?

Похоже в Drupal вылизывание приводит лишь к пролизыванию новых дыр.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Уязвимости в системе управления web-контентом Drupal"  +4 +/
Сообщение от Аноним (??) on 19-Авг-17, 13:40 
То же самое можно сказать и про, например вордпресс. А всё почему? Потому что внутри оно состоит из навоза, соплей и прутиков. Такой лапши я не видел уже со времён php3.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

21. "Уязвимости в системе управления web-контентом Drupal"  –2 +/
Сообщение от Аноним (??) on 19-Авг-17, 19:48 
> То же самое можно сказать и про, например вордпресс. А всё почему?
> Потому что внутри оно состоит из навоза, соплей и прутиков. Такой
> лапши я не видел уже со времён php3.

Сделай лучше! Подключайся к разработке, форкай, делай что-нибудь полезное, или диванному аналитику только языком болтать?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

25. "Уязвимости в системе управления web-контентом Drupal"  +2 +/
Сообщение от YetAnotherOnanym (ok) on 19-Авг-17, 20:33 
> Сделай лучше!

Лучше уже есть.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

11. "Уязвимости в системе управления web-контентом Drupal"  +2 +/
Сообщение от Аноним (??) on 19-Авг-17, 12:42 
Ну, кусок дерьма можно вылизывать и 10 лет, но станет ли сильно лучше? А вот алмазин сначала выглядит довольно непривлекательно, но нужно лишь немного его отшлифовать.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

19. "Уязвимости в системе управления web-контентом Drupal"  +1 +/
Сообщение от Аноним (??) on 19-Авг-17, 19:43 
Ну на любителя, такое...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Уязвимости в системе управления web-контентом Drupal"  +2 +/
Сообщение от Анонимммо on 19-Авг-17, 16:38 
> Какой же твой комментарий наивный, это примерно тоже самое если бы новость
> была "В двигателе воздушного лайнера Боинг-737 найден заводской дефект"
> а ты бы ответил "Велосипед!"

Лучше (и в сто раз надежнее) уж велосипед, чем взятый за основу дельтаплан, которому с помощью фанеры, скотча, красивого серебристого лака с блестками и пластиковых труб с вентиляторами придали форму сурьезного самолета.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Аноним (??) on 19-Авг-17, 19:42 
Но как бы ни был хорош твой велосипед, он не полетит, не для того он предназначен.
Да и не заставляет тебя никто сабжем пользоваться, сделай свое по ГОСТу и пользуйся, а языком ворочать любой дурак может...
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

24. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Анонимммо on 19-Авг-17, 20:31 
> Но как бы ни был хорош твой велосипед, он не полетит, не
> для того он предназначен.

Будто дельтаплан, обклееный фанерой и скотчем, с вентиляторами в пластиковой трубе вместо турбины летать будет. Разве что нызэнко-нызенко, если его еще к велосипеду прикрутить

> Да и не заставляет тебя никто сабжем пользоваться, сделай свое по ГОСТу и пользуйся,

Так и делаю уже лет 12. Но все равно, спасибо за совет!
>а дурацкие аналогие приводить любой дурак может...

пофиксил, в качестве жеста благодарности

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от бринн on 19-Авг-17, 20:08 
> GRAV
>Flat-File Architecture

знаешь куда проследовать?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

27. "Уязвимости в системе управления web-контентом Drupal"  –1 +/
Сообщение от Аноним (??) on 20-Авг-17, 07:59 
А значит и юниксовское "всё есть файл" тоже проследует туда же? Druzalupal на виндовом сервере запускать надо, так достаточно канонично?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Аноним (??) on 20-Авг-17, 11:51 
gantry + grav
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

29. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Аноним (??) on 20-Авг-17, 15:27 
Gantry... Ну, даже не знаю. Домохозяйкам для  бьюти-блогов настроек много не надо, всё равно дефолт менять не будут, да и не стоит давать лишней возможности давать сделать прямо из браузера Comic Sans розовым цветом. Те, кому действительно нужно что-то изменить под себя наверняка сделают всё ручками, а скорее, даже, свою тему запилят. А Гантри... Непонятно, для кого он? Для школьников (не в оскорбительном смысле), чтобы набросать лендинг, разве что? Серьёзно, я не могу уловить, для какой аудитории предназначены подобные свистелки.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Аноним (??) on 21-Авг-17, 10:36 
А что его сайт почти минуту грузится, когда остальные секунды, это из-за фреймворка?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Аноним (??) on 21-Авг-17, 10:37 
> GRAV

А что когда я ухожу со вкладки с https://getgrav.org/ на опеннет а потом возврящаюсь там 5 сек. колесо загрузки с пустым экраном висит, это фреймворк такой, ну и г...о же.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

32. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Аноним (??) on 21-Авг-17, 11:48 
Вы там с тостера сидите, что-ли? Firefox, GNU/Linux, KDE, комп 10-летней давности, однако, таких проблем не наблюдаю.
Может, всё-таки, "проблема в тебе"?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Аноним (??) on 21-Авг-17, 13:02 
> Вы там с тостера сидите, что-ли? Firefox, GNU/Linux, KDE, комп 10-летней давности,
> однако, таких проблем не наблюдаю.
> Может, всё-таки, "проблема в тебе"?

Firefox 55.0.2, win7, работа, может прблема в неумении работать без сети и javascript головного мозга?


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

14. "Уязвимости в системе управления web-контентом Drupal"  +/
Сообщение от Аноним (??) on 19-Авг-17, 16:24 
Я обновил свой сайт быстрее чем обновили версию в composer е.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру