Drualgeddon3: Dzisiaj późnym popołudniem cała Polska aktualizuje Drupala

25 kwietnia, 2018

To zadziwiające, ale od pewnego czasu deweloperzy Drupala ostrzegają swoich klientów na kilka dni przed wydaniem aktualizacji bezpieczeństwa, aby ci mogli się lepiej przygotować na „arcyważne” poprawki. W krótkim czasie po raz drugi będzie upubliczniona łatka bezpieczeństwa do Drupala w wersjach 7.x, 8.4.x, i 8.5.x, łatająca pewnie trywialny sposób — może wykonania zdalnego kodu, a może wykonania ataku SQL Injection? Szczegółów technicznych na razie nikt nie śmiał upublicznić. A może tak jak poprzednim razem (z uwagi na powagę zagrożenia) informacje techniczne będą opublikowane dopiero kilka dni po wydaniu łatki?

Sprawa jest nie mniej poważna niż pod koniec marca 2018 roku, kiedy mieliśmy do czynienia z „Drupalgeddonem2”. Wtedy nie zdecydowano się od razu ujawnić szczegółów technicznych, aby nie ułatwiać zadania autorom exploitów.

Drupal Security Team wyjaśnia:

There will be a security release of Drupal 7.x, 8.4.x, and 8.5.x on April 25th, 2018 between 16:00 – 18:00 UTC.

Dzisiaj późnym popołudniem, mniej więcej o godzinie 18-20 czasu polskiego, warto poświęcić parę minut na wdrożenie poprawek. Może nie minąć kilka godzin lub dni, a gotowy exploit będzie krążyć po sieci i tak jak poprzednio zostanie wykorzystany do ataków na strony internetowe napędzane CMS Drupal.

Szczegóły zostały wyjaśnione na tej stronie. Zarezerwowano też identyfikator podatności: CVE-2018-7602. Więcej informacji o luce zostanie opublikowanych pod tym linkiem: https://www.drupal.org/security

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]