Vyšel nový update na kritickou díru v Drupalu 7 a 8

Bezpečnostní update byl ohlášen týden dopředu. Komunita vývojářů do jeho vydání odmítla vydat jakékoliv informace včetně stupně závažnosti.

Nepamatuji si, že by se někdy něco takového stalo. Z toho si i člověk, který webům nerozumí, může udělat obrázek o důležitosti updatu,“ říká Josef Grega, můj kolega senior Drupal programátor.

Hack, na který patch odpovídá, dostal hodnocení závažnosti 21/25. Více o hacku se dozvíte v příspěvku Drupal Security Teamu.

Co update řeší?

Patch je určen pro D7 a D8 (riziko hrozí i pro D6, kde je potřeba to řešit taky)  a „látá“ kritický bezpečnostní problém v systému. Pro získání hlubšího vhledu se můžete podívat sem. Obsah záplaty ošetřuje na webech všechny metody vstupu od uživatelů (jako např. GET, POST, REQUEST nebo COOKIE).

Pro kontrolu, jestli byl web napaden, doporučuji zkontrolovat nové admin účty,“ radí všem majitelům webu na Drupalu Josef Grega.

V updatu si lze všimnout, že i málo programového kódu udělá hodně práce. Byla přidána jedna funkce odstraňující parametry začínající hashem (#) s tím, že lze v systému definovat white list povolených parametrů, které systém nechá projít.

Ostatní parametry odpovídající bezpečnostnímu riziku jsou odstraněny. Patch je vkládán přímo v bootstrapu, takže je systém bez něj obecně napadnutelný i v režimu údržby.

Zajímavé Webové pavučiny?

napište nám

Přidat komentář