Разработчики Drupal выпустили экстренное обновление для устранения критической уязвимости

Дата: 28.11.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Разработчики Drupal выпустили экстренное обновление для устранения критической уязвимости

Разработчики Drupal устранили критическую уязвимость, ранее обнаруженную в некоторых версиях CMS, которая позволяла киберпреступникам выполнять произвольный код в системе жертвы.

В официальном заявлении сказано: «25 ноября не является той датой, когда мы выпускаем обновления безопасности. Но это срочное обновление необходимо, потому что есть известные эксплойты, есть некоторые уязвимые конфигурации Drupal, чем могут воспользоваться киберпреступники».

На данный момент насчитывается около 944 тыс. сайтов, где используются уязвимые версии Drupal. Разработчики заявляют, что это неполная статистика, потому что в расчет берутся только те сайты, на которых установлен модуль Update Status.

Drupal сейчас используется примерно на 2,5% сайтах с системами управления контентом, что делает его четвертым по популярности в интернете среди всех CMS после WordPress, Shopify, Joomla.

В соответствии с заявлением разработчиков, уязвимость Drupal вызвана двумя ошибками, обнаруженными в библиотеке PEAR Archive_Tar, которая используется системой управления контентом. Уязвимости отслеживаются как CVE-2020-28948 и CVE-2020-28949.

Критическая уязвимость удаленного выполнения произвольного кода Drupal может быть использована, если CMS настроена для разрешения и обработки загрузки файлов с расширениями .tar, .tar.gz, .bz2 или .tlz.

Разработчики Drupal для устранения ошибок выпустили сразу несколько обновлений безопасности. Рекомендуется установить следующие обновления на уязвимых серверах:

  • Обновление с Drupal 9.0 до Drupal 9.0.9.
  • Обновление с Drupal 8.9 до Drupal 8.9.10
  • Обновление с Drupal 8.8 (или более ранней версии) до Drupal 8.8.12.
  • Обновление с Drupal 7 до Drupal 7.75.

«Версии Drupal от 8 до 8.8.x являются устаревшими и не получат соответствующих обновлений», – отметили в команде безопасности Drupal.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *