Vyšel nový update na kritickou díru v Drupalu 7 a 8

Bezpečnostní update byl ohlášen týden dopředu. Komunita vývojářů do jeho vydání odmítla vydat jakékoliv informace včetně stupně závažnosti.
Drupal security

Nepamatuji si, že by se někdy něco takového stalo. Z toho si i člověk, který webům nerozumí, může udělat obrázek o důležitosti updatu,“ říká Josef Grega, můj kolega senior Drupal programátor.

Hack, na který patch odpovídá, dostal hodnocení závažnosti 21/25. Více o hacku se dozvíte v příspěvku Drupal Security Teamu.

Co update řeší?

Patch je určen pro D7 a D8 (riziko hrozí i pro D6, kde je potřeba to řešit taky)  a „látá“ kritický bezpečnostní problém v systému. Pro získání hlubšího vhledu se můžete podívat sem. Obsah záplaty ošetřuje na webech všechny metody vstupu od uživatelů (jako např. GET, POST, REQUEST nebo COOKIE).

Pro kontrolu, jestli byl web napaden, doporučuji zkontrolovat nové admin účty,“ radí všem majitelům webu na Drupalu Josef Grega.

V updatu si lze všimnout, že i málo programového kódu udělá hodně práce. Byla přidána jedna funkce odstraňující parametry začínající hashem (#) s tím, že lze v systému definovat white list povolených parametrů, které systém nechá projít.

Ostatní parametry odpovídající bezpečnostnímu riziku jsou odstraněny. Patch je vkládán přímo v bootstrapu, takže je systém bez něj obecně napadnutelný i v režimu údržby.

Tvorba webu
Drupal
chci zabezpečit web

napište nám

Související články: 

FAIL! Webové projekty a jejich (ne)úspěch

Webové projekty a jejich (ne)úspěch
Mnohdy se setkáváme s názory, že webové projekty jsou velmi triviální záležitost a že na jejich úspě

Český rozhlas plánuje migraci na Drupal 7. Proč velké weby volí open source?

CMS Drupal
Webové portály Českého rozhlasu budou postupně přecházet na redakční systém Drupal 7 a my budeme tut
Share

Přidat komentář