В системе управления контентом Drupal выявлены (https://www.drupal.org/sa-core-2018-006) две критические уязвимости, позволяющие выполнить код на сервере. Проблемы устранены в выпусках Drupal 7.60 (https://www.drupal.org/project/drupal/releases/7.60), 8.5.8 (http://www.drupal.org/project/drupal/releases/8.5.8) и 8.6.2 (http://www.drupal.org/project/drupal/releases/8.6.2).
Первая уязвимость затрагивает Drupal 7 и Drupal 8 и связана с отсутствием должного экранирования спецсимволов в функции DefaultMailSystem::mail(). При отправке сообщения на email не все переменные проверяются, что позволяет передать утилите sendmail произвольные аргументы командной строки и инициировать выполнение своего кода.
Вторая уязвимость присутствует только в Drupal 8 и вызвана отсутствием необходимой чистки контекстных ссылок в модуле Contextual Links. Через передачу специально оформленной контекстной ссылки атакующий может добиться выполнения своего кода в системе. Для атаки необходим доступ с правами, разрешающими работу с контекстными ссылками.
Кроме того, в новых выпусках также устранены три уязвимости, отнесённые к категории "Moderately critical": ошибка проверки доступа в системе модерировния контента, возможность проброса на сторонний URL в системе внутренних коротких ссылок и возможность перенаправления на сторонний сайт после совершения определённых действий на странице.
URL: https://www.drupal.org/sa-core-2018-006
Новость: https://www.opennet.ru/opennews/art.shtml?num=49488
С пробуждением. Уже неделю как все обновились
> и связана с отсутствием должного экранирования спецсимволов в функцииИнтересно, как при таком уровне профессионализма они пишут всё остальное.
> Интересно, как при таком уровне профессионализма они пишут всё остальное.быстро, очень-очень быстро пишем!
>> Интересно, как при таком уровне профессионализма они пишут всё остальное.
> быстро, очень-очень быстро пишем!Ай нанэ нанэ!
Так же как и разработчики ядра пишут код приводящий затем к переполнению буфера.
Осасные уязвимости
Исправьте в соц сетях)
сесурити в осасноти!
Может уже пора переименовать Drupal в Уязвимость?
Просто читайте как "Дрюпаль" :)
вздрюпаль тогда
нас вздрюпали! - и всем всё ясно, ёмкая фраза получается
А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз Drupal, Joomla, Wordpress, DragonflyCMS...
пилить? или накидать кала, авось и так сойдет
> А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз
> Drupal, Joomla, Wordpress, DragonflyCMS...а зачем вообще что-то пилить? Сайты немодно, их скоро вообще гугл запретит, перестав открывать что-то кроме самого себя, так что пилите блох в свитере, кАнал в телеграсте и что там еще - а, акаунт в хипстаграме.
сайт-визитку со ссылками на все это - ну, в гуглосайтах сделайте, там готовый шаблон.
Проблема капли неповоротливый комитет который занимается обсуждалками, написаниями всяких правил в духе уважать геев - ничего хорошего из результата такой деятельности не получится.
Вот вы смеетесь, а ведь так и будет.Сетевой нейтралитет отменяетяс
HTTPS теперь везде, мартышкам сложнее сделать сайт без него
Да и сайт? Зачем? Сложно же. Проще паблик в ВК запилить или в FB. Для фоточек - инстаграм.А сайт-то зачем? Да забудьте! Будьте современным ;)
согласен, давно пора избавится от всего ввв, мейла и всякой хрени напридуманной 50 лет назад
>> в хипстаграмеВ вконтаграме.
> А на чём сейчас сайт пилить? Из опенсорсного мне известны кака раз
> Drupal, Joomla, Wordpress, DragonflyCMS...На HTML 4.01 или XTML 1.0/1.1 при поддержке CSS 2. Поверь, результат бесконечно обрадует тебя и посетителей твоего сайта.
На /cgi-bin/
> На /cgi-bin/Боюсь, тут мало тех, кто знает (помнит) эти слова. :)
hell-world.exe ))))))
о - не допечатал
даже лучше получилось
> даже лучше получилосьТочно.
> hell-world.exe ))))))Не в бровь, а в глаз!
Уточняю: есть /var/www/ и радость установки LAMP.
Раньше у меня был сайт на postnuke-подобном движке, пока его не забросили и всё время не стало уходить на дырозатыкание. Пришлось закрыть. Всякие облака-белогривые-гуглошадки даже не рассматриваю. Всё своё должно быть своим.Сейчас, как я понял, модно - фреймворки, фронтенды...
Но хотелось бы классический "портал" - на нормальном HTML с CSS, без JS. Чтобы были темы (шаблоны) по выбору юзеров, блоки, новости, галерея, ...
Пилить - на голом языке, без cms. В принципе на любом, хоть на том же пыхе. Просто следовать простым правилам безопасности а-ля OWASP и будет все норм.Набросать сайтик непрограммисту / "сайт салона красоты" или еще какую то мелочь - wordpress, просто анально ограничить его на сервере путем помещения в докер + запрета выполнения в папках загрузок + ручного перечисления нужных entry point'ов + https + basic auth на всю админку сразу. Норм, и волки сыты, и овцы целы
Для сайта салона красоты не нужна CMS.Проще посадить заказчика на облако а-ля PAAS и сделать фронтенд на чем угодно. Вам только нужен генератор статических сайтов + верстальщик с руками и дизайнер с головой.
Вот именно, что нужен верстальщик с головойА если есть в наличии только владелец салона красоты?))
Нанять верстальщика за вменяемое вознаграждение. Когда пытаются обойтись своими силами получается примерно вот так: www.amur.info (чтобы почувствовать ВСЮ боль отключите адблок)
вчера Через Благовещенскую таможню пытались провезти майнеры для криптовалют
вчера Благовещенец выплатил 300 000 рублей алиментов, чтобы не лишиться водительских прав
вчера Благовещенец украл из закрытой машины почти два миллиона рублей
(вот где он взял 300000)
вчера Полиция Приморья предлагает 400 тысяч за информацию о разыскиваемом
(что-то я не понял, где тут профит- он же им должен был 300)интересно живут люди в Благовещенске, да и сайт в общем почти нормальный (адблока нет, есть noscript, удивительно, но факт - этот сайт без js вполне работает)
а, ну так что вы хотите-то: Житель города Нерюнгри, ехавший в поезде Нерюнгри – Хабаровск, вез в банке с вареньем почти 19 граммов гaшишного масла.
в тынде менты поганые, соглашусь.
(и тутошний скрипт не лучше)
Будь брутален, как звездец, сделай свой блог на https://jekyllrb.com/. Пиши посты в vim'е и коммить в гит!
> Чтобы были темы (шаблоны) по выбору юзеров, блоки, новости, галерея, ...ну лет за стописят допилишь - хоть на "cgi-bin", хоть на чем.
и да, не забудь прекрасный jquery-file-upload, потому что никакими силами кроме аякса невозможно нарисовать прогресс-бар при заливе картинок в эту самую галерею - а браузеры таковым штатно почему-то не оборудованы. Успехов тебе использовать его без js.
и да, в отличие от ненужнопищалкоперделок - это - нормальная забота о пользователе, которому нужно понимание- это вот оно просто так висит, или "ага, уже больше половины закачалось, щас покажется".
TYPO3 ещё, но оно не для визиток. Есть хорошо зарекомендовавшие себя старые знакомые в ttlab.
Jekyll или какой статический генератор сайтов вместо него нынче в моде. Комменты вы всё равно отключите с первым наездом РКН на очередного распространителя немодерируемой информации.
> с первым наездом РКНага, щас:
pay for essay writing a href(опять он не смог в bbcode)
cialis prezzo [а этот смог, жаль что в комментах ссылки не показываются]- viagra without a doctor canadian pharmacyроспозору - совершенно пофиг (хотя тут прямо вот уголовный кодекс. Но не применяемый на практике).
а вот твоим пользователям нифига не пофиг, и либо они уйдут с твоего сайта очень быстро, либо придется озадачиться тем, чтобы "немодерируемая информация" быстренько пополняла /dev/null
На чём-то, что не написано на PHP/Perl.Прекрасно подойдут продукты на Python/RoR.
// b.
Зобейте ... зобейте на все похапешное, я вас как человеков прошу ... (помирает)
Мне интересно, когда-то вообще могут ЗАКОНЧИТЬСЯ дыры в вордпрессе, друпале и прочих какаCMS? Или там задел на ближайшие 100 лет?
> Мне интересно, когда-то вообще могут ЗАКОНЧИТЬСЯ дыры в вордпрессе, друпале и прочих
> какаCMS? Или там задел на ближайшие 100 лет?Никогда. Точнее, пока не прекратится вот это: https://www.opennet.ru/openforum/vsluhforumID3/115644.html
При чем тут вообще нода?
> При чем тут вообще нода?Купи себе для начала мозг.
У меня он уже есть. А вот у тебя его нет! А-ха-ха-ха-ха!
Какая смешная шутка! Заливисто смеюсь! Петросян тобой бы гордился, анон.
> Какая смешная шутка! Заливисто смеюсь! Петросян тобой бы гордился, анон.Молодец. Возьми с полки пирожок
На хабре писали, что на волне sjw-хайпа хотели выгнать из друпала одного из ведущих разрабов за BDSM. И вот последствия
в смысле, теперь твои пользователи не могут устроить тебе сеанс bdsm, и ты по этому поводу плачешь? Баг-то исправлен, а не наоборот - и судя по набору версий, существовал он еще во времена спокойно жизни bdsm'щика.
>> Пилить - на голом языке, без cms.Посмеялся..
И пусть весь мир подождет(с)