Drupal сообщил о критической уязвимости

В исходном коде популярнейшей CMS-системы Drupal обнаружена критическая уязвимость – SA-CORE-2018-004. Официальное сообщение  об этом появилось на официальном сайте компании — разработчика.

Как оказалось данная уязвимость позволяет хакерам удалённо выполнять код на сайте, функционирующем на основе Drupal сразу через «несколько векторов атаки». В связи с этим разработчики данной CMS настоятельно рекомендуют обновить программное обеспечение до актуальных версий  Drupal 7 или 8.

Одновременно с этим подчеркивается, что масштабные хакерские атаки, использующие выявленную уязвимость, на данный момент не обнаружены, но осуществить обновление необходимо как можно скорее.

Разработчики CMS Drupal уже опубликовали обновлённые версии программного обеспечения на официальном сайте проекта. Они рекомендуют использовать следующие решения:

  • При использовании версии Drupal 7.x, нужно обновиться до Drupal 7.59.
  • При использовании версии 8.5.x, нужно перейти на использование версии Drupal 8.5.3.
  • При использовании версии 8.4.x, необходимо обновиться до версии Drupal 8.4.8.

Если по какой-либо причине возможность установить актуальную версию программного обеспечения отсутствует, разработчики рекомендуется использовать перечисленные ниже патчи вплоть до момента полноценного обновления:

  • Patch for Drupal 8.x (8.5.x и ниже);
  • Patch for Drupal 7.x.

Одновременно с этим необходимо отметить, что все решения, перечисленные выше, будут работать только в том случае, если было осуществлено обновление, устраняющее предыдущей выявленной уязвимости – SA-CORE-2018-002.

По словам представителей команды разработчиков, специалисты отдела безопасности  выявили автоматические атаки, которые пытаются скомпрометировать сайты, построенные на основе Drupal 7 и 8, используя для этого уязвимость SA-CORE-2018-002. В связи с этим, риск безопасности по этой проблеме был повышен до уровня 24/25.

Сайты, которые не обновили CMS Drupal до 11 апреля 2018 года, могут быть скомпрометированными. Именно в этот день разработчикам стало известно о попытках осуществления автоматических хакерских атак. Кроме того разработчики предполагают, что подобные атаки могли происходить и ранее.