To zadziwiające, ale od pewnego czasu deweloperzy Drupala ostrzegają swoich klientów na kilka dni przed wydaniem aktualizacji bezpieczeństwa, aby ci mogli się lepiej przygotować na „arcyważne” poprawki. W krótkim czasie po raz drugi będzie upubliczniona łatka bezpieczeństwa do Drupala w wersjach 7.x, 8.4.x, i 8.5.x, łatająca pewnie trywialny sposób — może wykonania zdalnego kodu, a może wykonania ataku SQL Injection? Szczegółów technicznych na razie nikt nie śmiał upublicznić. A może tak jak poprzednim razem (z uwagi na powagę zagrożenia) informacje techniczne będą opublikowane dopiero kilka dni po wydaniu łatki?
Sprawa jest nie mniej poważna niż pod koniec marca 2018 roku, kiedy mieliśmy do czynienia z „Drupalgeddonem2”. Wtedy nie zdecydowano się od razu ujawnić szczegółów technicznych, aby nie ułatwiać zadania autorom exploitów.
Drupal Security Team wyjaśnia:
There will be a security release of Drupal 7.x, 8.4.x, and 8.5.x on April 25th, 2018 between 16:00 – 18:00 UTC.
Dzisiaj późnym popołudniem, mniej więcej o godzinie 18-20 czasu polskiego, warto poświęcić parę minut na wdrożenie poprawek. Może nie minąć kilka godzin lub dni, a gotowy exploit będzie krążyć po sieci i tak jak poprzednio zostanie wykorzystany do ataków na strony internetowe napędzane CMS Drupal.
Szczegóły zostały wyjaśnione na tej stronie. Zarezerwowano też identyfikator podatności: CVE-2018-7602. Więcej informacji o luce zostanie opublikowanych pod tym linkiem: https://www.drupal.org/security
