Tři vysoce kritické bezpečnostní opravy pro moduly systému Drupal

Včera vyšlo tajemné upozornění na vysoce kritickou zranitelnost v některých modulech pro Drupal 7. Netýká se to samotného jádra Drupalu. Dnes vyšly opravy a popis chyb. Pokud moduly používáte, neměli byste nic podcenit, útoky na dané zranitelnosti se očekávají v řádu hodin. Takže aktualizujte.
reklama

A které moduly jsou konkrétně postiženy? Jedná se o trojici modulů Coder, RESTful Web Services a Webform Multiple File Upload.

Coder pomáhá vývojářům kontrolovat kvalitu zápisu jejich kódu. Bohužel nesprávně zpracovával vstup a pokud mu byl předložen škodlivý PHP soubor, mohlo to mít dalekosáhlé důsledky. Řešením je buď vypnutí modulu (ostatně na produkci nemá co dělat) nebo aktualizace na nejnovější verzi.

Pozor, modul Coder ani nemusí být zapnutý, aby mohlo dojít k jeho zneužití...

Chyba v modulu RESTful Web Services umožňuje i anonymnímu útočníkovi službě předhodit data umožňující spuštění PHP kódu a poničení či ovládnutí webu. Řešením je opět aktualizace na nejnovější verzi.

A konečně, v modulu Webform Multiple File Upload umožňujícímu nahrávat soubory do webových formulářů je rovněž chyba umožňující nahrávat i anonymním uživatelům škodlivé soubory, pomocí kterých jsou schopni vykonat vzdálené spuštění kódu. Řešením je aktualizace na nejnovější verzi modulu.

Není to dle mého názoru tak strašné, zmíněné moduly myslím nemám na žádném z webů v produkční verzi a nepovažuji je za kdovíjak rozšířené. Přesto byste měli své weby pro jistotu zkontrolovat, zvlášť, pokud jich máte hodně a nejste si jisti, zda jste moduly nepoužili.

Zdroj: Drupal Security Advisories

Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal a Symfony. Obojí také školím spolu se základy SEO. Jsem Acquia Certified Developer a Site Builder a napsal jsem několik knih o Drupalu. Ve volných chvílích cestuji a podnikám výlety. Více se dozvíte na mém firemním webu.

reklama

Komentáře k článku

Přidat komentář

Filtered HTML

  • Povolené HTML značky: <a href hreflang> <em> <strong> <cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <p> <br>
  • Řádky a odstavce se zalomí automaticky.
  • Web page addresses and email addresses turn into links automatically.

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Poslední komentáře
reklama
Nové diskuze
reklama
Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

Knihy o Drupalu

Kniha Drupal 8 Kniha Drupal 7 333 tipů a triků pro Drupal
Více na KnihyPolzer.cz

Co píší na Interval.cz
@maxiorel na Twitteru

Maxiorel na Twitteru