Vyšla oprava vysoce kritické chyby v Drupalu 7 i 8

Včera večer vyšla avizovaná oprava redakčního systému Drupal, která řeší vysoce kritickou chybu umožňující vzdálené spuštění kódu a prakticky možnost ovládnutí celého webu bez hlubších znalostí hackera. Aktualizaci neodkládejte.

Reklama

Oprava byla avizovaná týden dopředu s tím, že se dotkne Drupalu 7 i 8 a chyba byla nalezena i v Drupalu 6, který již není oficiálně podporován. Drupal 7 byste měli neprodleně aktualizovat na verzi 7.58, Drupal 8 na verzi 8.5.1.

Je důležité zmínit, že závažnost chyby přinutila tvůrce Drupalu vydat opravy i pro již nepodporované řady 8.3.x a 8.4.x. Pro šestku můžete zkusit projekt Drupal6LTS.

Hodnocení závažnosti chyby je na hodnotě 21 z 25bodové stupnice. Pro hackera je její zneužití velice jednoduché, stačí mu navštívit nějakou adresu na webu. Nepotřebuje na to speciální oprávnění, získá přístup ke všem neveřejným údajům na webu, může cokoli upravit nebo smazat.

Dovolím si ještě poznámku. Pokud teprve nyní přejdete z Drupalu 8.4.x na řadu 8.5.x, vězte, že došlo ke změně volání RESTových exportů. Pokud k jejich adresám nepřidáte na konec řetězec ?_format=json, nebudou vám fungovat a objeví se chybové hlášení s nadpisem Client Error a popisem chyby A client error happened.

Další informace:

Reklama

Komentáře

Nevím, zda to souvisí s toutou chybou, ale mám čerstvou instalaci na Wedosu a nemám na webu ještě nic upraveno, kromě přidání dvou modulů a to Administrator a Backup. Včera mi přišel ale mail, že můj web provádí zakázané činnosti na hostingu. V adresáři TMP (který byl na adrese sites/files/tmp se objevili podezřele veliké soubry od 2 MB do 30 GB a celkem zabrali místo 108 GB. Předpokládám, že Drupal si je sám vytvořit nemohl. Nebo mohl?

Tak jedině, že by to vyprodukoval nějak ten zálohovací modul, ale pochybuji.

Majitel Maxiorla. Nabízím mimo jiné placené poradenství pro Drupal. Jsem i na Twitteru.

Přidat komentář