Vyšla oprava vysoce kritické chyby v Drupalu 7 i 8

Včera večer vyšla avizovaná oprava redakčního systému Drupal, která řeší vysoce kritickou chybu umožňující vzdálené spuštění kódu a prakticky možnost ovládnutí celého webu bez hlubších znalostí hackera. Aktualizaci neodkládejte.
reklama

Oprava byla avizovaná týden dopředu s tím, že se dotkne Drupalu 7 i 8 a chyba byla nalezena i v Drupalu 6, který již není oficiálně podporován. Drupal 7 byste měli neprodleně aktualizovat na verzi 7.58, Drupal 8 na verzi 8.5.1.

Je důležité zmínit, že závažnost chyby přinutila tvůrce Drupalu vydat opravy i pro již nepodporované řady 8.3.x a 8.4.x. Pro šestku můžete zkusit projekt Drupal6LTS.

Hodnocení závažnosti chyby je na hodnotě 21 z 25bodové stupnice. Pro hackera je její zneužití velice jednoduché, stačí mu navštívit nějakou adresu na webu. Nepotřebuje na to speciální oprávnění, získá přístup ke všem neveřejným údajům na webu, může cokoli upravit nebo smazat.

Dovolím si ještě poznámku. Pokud teprve nyní přejdete z Drupalu 8.4.x na řadu 8.5.x, vězte, že došlo ke změně volání RESTových exportů. Pokud k jejich adresám nepřidáte na konec řetězec ?_format=json, nebudou vám fungovat a objeví se chybové hlášení s nadpisem Client Error a popisem chyby A client error happened.

Další informace:

Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal a Symfony. Obojí také školím spolu se základy SEO. Jsem Acquia Certified Developer a Site Builder a napsal jsem několik knih o Drupalu. Ve volných chvílích cestuji a podnikám výlety. Více se dozvíte na mém firemním webu.

reklama

Komentáře k článku

Komentáře

návštěvník

Nevím, zda to souvisí s toutou chybou, ale mám čerstvou instalaci na Wedosu a nemám na webu ještě nic upraveno, kromě přidání dvou modulů a to Administrator a Backup. Včera mi přišel ale mail, že můj web provádí zakázané činnosti na hostingu. V adresáři TMP (který byl na adrese sites/files/tmp se objevili podezřele veliké soubry od 2 MB do 30 GB a celkem zabrali místo 108 GB. Předpokládám, že Drupal si je sám vytvořit nemohl. Nebo mohl?

Přidat komentář

Filtered HTML

  • Povolené HTML značky: <a href hreflang> <em> <strong> <cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <p> <br>
  • Řádky a odstavce se zalomí automaticky.
  • Web page addresses and email addresses turn into links automatically.

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Poslední komentáře
reklama
reklama
Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

Knihy o Drupalu

Kniha Drupal 8 Kniha Drupal 7 333 tipů a triků pro Drupal
Více na KnihyPolzer.cz

@maxiorel na Twitteru

Maxiorel na Twitteru