Od wczorajszych godzin wieczorowych czasu polskiego świat webmasterów obiega informacja o poważnych lukach w zabezpieczeniach CMS Drupal (określanego mianem CMF-u). Naprawiona już podatność CVE-2018-7600 pozwalała atakującemu uruchomić dowolny kod na serwerze bez specjalnych uprawnień — atakujący w domyślnej instalacji nie musiał się uwierzytelniać. Luka została określona przez zespół od bezpieczeństwa silnika Drupal jako wysoce krytyczna (highly critical). Błąd otrzymał 21 punktów na 25 możliwych.

Podatność CVE-2018-7600 określana jest mianem Drupalgeddon2 (pierwszy Drupalgeddon wydarzył się w 2014 roku ze skalą powagi zagrożenia 25/25 pkt według wskaźników liczenia Drupala).

Ze względu na powagę zagrożenia nie podano szczegółów technicznych. Wykorzystanie luki było na tyle proste, że atakujący nie musiał się uwierzytelniać w serwisie jako zalogowany użytkownik, ani tym bardziej administrator. Wystarczyło mieć dostęp do przeglądarki i paska z adresem URL. Modyfikując adres URL możliwe było usunięcie lub modyfikowanie danych.

Do tej pory nie opracowano jeszcze publicznego exploita, aczkolwiek nie wiadomo, czy manipulacja adresem URL zadziałałby na innej niż domyślnej konfiguracji. Gdyby jednak Wasza strona została zhackowana, zespół Drupala opracował poradnik, co należy zrobić.

Niemniej sytuacja jest bardzo poważna. Zalecamy pilną aktualizację rdzenia. Podatne są wszystkie wersje rdzenia przed 7.58 i 8.5.1. Te wersje zostały załatane tak szybko, jak było to możliwe.

Więcej szczegółów o luce znajduje się na stronie poświęconej podatności CVE-2018-7600.  

Administratorzy niewspieranych wersji Drupala z linii 6.X i 5.X mogą zapoznać się z tematem na Reddicie i opracowanym patch’em.

Strony zabezpieczone webowym firewallem od CloudFlare są potencjalnie bezpieczne. WAF CloudFlare nie jest dostępny w darmowej wersji usługi sieci CDN.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Grzegorz wt., 03-04-2018 - 10:15

Posiadam kilka stron drupalowych. Aktualizacja jest bardzo łatwa. Może nie tak łatwa jak wordpressa, ale za to platforma dużo bardziej bezpieczniejsza.

Dariusz wt., 10-04-2018 - 04:29

Uwielbiam Drupal tylko bardzo ubolewam, że tak mało jest sensownych poradników. Mam dwie strony jedna jest na WP druga na D7. Obydwie odwiedza podobna ilość uu, co ciekawe zauważyłem że obciążenia CPU serwera dla strony postawionej na D jest w zasadzie minimalne, WP żre wszystko jak głupi obciążenie zasobów serwera potężne dodam że nie używam żadnych kretyńskich wtyczek praktycznie jet to czysty WP ;).
Mam prośbę do Adriana właściciela serwisu Avlab.pl, bardzo proszę o publikację jak zaktualizować krok po kroku D7 do D8. W internecie w zasadzie nie ma porządnego poradnika. Pozdrawiam serdecznie :)

Adrian Ścibor wt., 10-04-2018 - 07:33

Problem aktualizacji CMS-a, jak to zrobić, to raczej kwestia webmasterki, a nie portalu o bezpieczeństwie. Drupala można aktualizować na różne sposoby: manualnie, wgrywając pliki na FTP lub bardziej automatycznie, za pomocą dostępu do Shell-a.

Najlepiej robić to na kopii strony. Jak wszystko pójdzie dobrze, to można to samo zrobić na produkcji.

Tutorial: https://www.drupal.org/docs/8/update
http://drupal.pl/node/8426
http://it.a2z.com.pl/index.php/2017/10/06/zaktualizowac-drupala-8-aktua…

Drupal to trudniejszy w budowie core niż Wordpress, dlatego nie jest tak popularny, bo ogólnie droższy w utrzymaniu. Jeśli zbudujesz identyczną stronę na WP i Drupalu, to więcej zapłacisz za stronę w Drupalu, jeśli chcesz coś zrobić bardziej zaawansowanego. Ale nie ma to znaczenia dla osób, które chcą mieć bezpieczną stronę, Drupal jest bezpieczniejszy.

Natomiast co do upgrade z D7 do D8 - też na początku roku przez to przechodziłem, ale takie rzeczy zlecam na zewnątrz. Jak coś potrzebujesz, to pisz do mnie prywatnie na @. Z tego co pamiętam jest jakiś moduł do tego, który pokazuje, czy zainstalowane moduły w D7 są dostępne pod D8. W przypadku AVLab tak nie było i musieliśmy korzystać z alternatywy lub zrobić niektóre rzeczy w inny sposób. W każdym razie upgrade z D7 do D8 raczej nie przebiega automatycznie. Jeśli nie wiesz jak się do tego zabrać, zleć to komuś.

Dodane przez Dariusz w odpowiedzi na

Dariusz wt., 10-04-2018 - 16:26

Serdeczne dzięki za odp. Próbowałem 2x wykonać aktualizację według wskazówek zamieszczonych w serwisie Drupal czy na polskim forum i nie wyszło mi. To prawda co napisałeś CMS jest świetny ale i nie łatwy w obsłudze, dlatego większość wybiera WP ze względu prostej obsługi ... typu kliknij i zainstaluj ;).
Moja przygoda z Drupal zaczęła się parę lat temu - ok 6 lat. Wtedy postawiłem na próbę 1 stronę. W pierwszej chwili byłem zły jak cholera bo myślałem że wszystko będzie działało jak w WP, lecz po długich często żmudnych próbach, odkryłem jego fantastyczne możliwości i tu nie chodzi o jakieś wodotryski, tylko o zwykła podstawową optymalizację. Doszedłem do tego po jakimś czasie. Dziś wiem, że serwis postawiony na Drupal to dobra inwestycja i naprawdę warto zainwestować swój czas. Posłucham się rady i spróbuję popracować na kopii, na ten pomysł nie wpadłem, więc już jestem wdzięczny za cenną radę. :)

Dodane przez Adrian Ścibor w odpowiedzi na

Dodaj komentarz