forum.opennet.ru

"Критическая уязвимость в системе управления контентом Drupal"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Критическая уязвимость в системе управления контентом Drupal"	–7 +/–
Сообщение от пох. (?), 21-Ноя-20, 13:38
> Если вебсервер настроен так, что для файла с именем filename.php.txt запустится php include('filename.php.txt') Ну покажи, покажи же нам, не стесняйся... да не, этим сморчком ты кого хотел удивить, спрячь обратно, не позорься, тут у всех длиннее, покажи нам свой чудо-сервер, настроенный так что такое не запустится. "другой скрипт для аплоада", внезапно, не исполняет как код то что сам же зааплоадил. (Если,конечно, файл не называется phar://чтотатам - но тут скрипт не виноват) А вот дрюпал - могет. > А тут аж cve, да ещё и critical. и без малейших деталей. Что как бе намекает, что дело не в настройках сервера (если только не в таких, которые делают все загруженные файлы недоступными для php пока админ не подтвердит вручную - как оно ДОЛЖНО быть блжад, но никогда не будет до конца юги.)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в системе управления контентом Drupal, opennews, 21-Ноя-20, 10:59 [смотреть все]

Судя по обилию комментариев, все местные эксперты побежали обновляться , Аноним, 21-Ноя-20, 10:59 (1) //
- А ты еще вчера обновился и молодец , Аноним, 21-Ноя-20, 11:43 (8) //
  - У него автообновление, как у всех нормальных пацанов С утра уже починил все 3d-, пох., 21-Ноя-20, 13:28 (16) //
    - А разве это реально Починить все плагины после обновления , Dzen Python, 21-Ноя-20, 18:33 (36)
      - ну выключил те что не чинятся, и спи теперь до ужина А чо, варианты как будто ес, пох., 21-Ноя-20, 23:11 (49)
- Да просто друпал продолжают использовать только те, кто вообще не читает рассылк, Pilat66, 22-Ноя-20, 14:39 (59) //
  - Перешли на вордпресс наверное Или если ваше смс никому не нужно, то оно безопасн, гшшг, 22-Ноя-20, 17:10 (64)
Ну бывает, чо Зато нет сишных дыреней, нувыпонели , YetAnotherOnanym, 21-Ноя-20, 11:16 (2) //
- Дело фрактала живёт Теперь сишные дырени проникают в обсуждения без каких-либо , Ordu, 21-Ноя-20, 11:19 (3) //
  - Это я его кастую Не спугни , YetAnotherOnanym, 21-Ноя-20, 11:40 (5) //
    - зачем, одного достаточно, не надо новых спаунить, Аноним, 21-Ноя-20, 21:09 (46)
- А PHP на чём написан То-то же , Аноним, 21-Ноя-20, 11:24 (4) //
  - Ну, справедливости ради надо признать, что времена, когда в интерпретаторе PHP н, YetAnotherOnanym, 21-Ноя-20, 11:41 (6) //
    - джо стала неуловимым, Аноним, 21-Ноя-20, 12:07 (13)
    - Напомните, давно ли была уязвимость в php-fpm - RCE, afair Которую еще и отк, пох., 21-Ноя-20, 17:22 (32)
      - Ну, я за пыхом не слежу, но по сравнению с тем, что было, сейчас просто покой и , YetAnotherOnanym, 22-Ноя-20, 10:58 (57)
Уязвимость так и называется Drupal заражает сервера под управлением Линукс , Аноним, 21-Ноя-20, 11:42 (7) //
- Где в информации говорится о Linux , Аноним, 21-Ноя-20, 11:59 (11)
а с чего это вообще уязвимость Где такие _серверные_ конфигурации, которые имя , Аноним, 21-Ноя-20, 11:53 (9) //
- дефолтный конфиг Apache , gogo, 21-Ноя-20, 13:55 (19) //
  - Что а файл so txt он, наверно, как модуль подтягивает, Аноним, 21-Ноя-20, 14:06 (21)
  - Разве что у любителей докеров от Васянов , Аноним, 21-Ноя-20, 14:38 (23)
WAMP , Аноним, 21-Ноя-20, 11:57 (10)
Белки-истерички какие-то Если вебсервер настроен так, что для файла с именем fil, Аноним, 21-Ноя-20, 12:05 (12) //
- include filename php txt Ну покажи, покажи же нам, не стесняйся да не, этим , пох., 21-Ноя-20, 13:38 (17) //
  - И какое отношение это имеет к проблеме Ну, загрузят filename txt и сделают тако, Аноним, 21-Ноя-20, 14:00 (20) //
    - вероятно, ЭТО как раз и проверяется друпалом - php не-админу не дадут загрузить,, пох., 21-Ноя-20, 14:21 (22)
  - ССЗБ , Аноним, 21-Ноя-20, 17:59 (34)
  - И откуда этот include взялся Либо ты его сам написал, либо в коде есть уязвимос, Аноним, 21-Ноя-20, 19:10 (40)
- Контейнер не мой, я просто его развернул , Аноним, 21-Ноя-20, 14:40 (24)
а кто кого друпал так и не рассказали, Аноним, 21-Ноя-20, 12:08 (14) //
- Я твой дом труба друпал, Какаянахренразница, 21-Ноя-20, 20:14 (42)
Никогда такого не было, и вот опять , Аноним, 21-Ноя-20, 13:53 (18)
Drupal для тех, кто не может вручную сайт написать , Аноним, 21-Ноя-20, 14:59 (25) //
- Причём сложность написания своего даже меньше, чем что-то под друпал разрабатыва, Аноним, 21-Ноя-20, 15:25 (26)
Дрюпал еще жив Вордпресс почти все завхватил уже, вытеснив остальные ЦМСки , DEF, 21-Ноя-20, 16:03 (27)
Кто-то в 2к20 пользуется ещё Друпалом Таких веб-сайтов меньше половины процента, смузихлёб, 21-Ноя-20, 16:26 (28) //
- https w3techs com technologies history_overview content_management 8212 два, Shoorick, 23-Ноя-20, 12:36 (68)
Проблеме подвержены скорее всего конфигурации с AddType application x-httpd-php , Alex_K, 21-Ноя-20, 16:33 (29) //
- Нет, проверь и убедись что с php txt у тебя получится text plainАпач, знаешь ли, пох., 21-Ноя-20, 17:19 (31) //
  - Я с вами спорить не буду В свое время проверял работу и был удивлен результату , Alex_K, 21-Ноя-20, 18:08 (35) //
    - Это уже не addtype, а addhandler Это, да, минное поле , Аноним, 21-Ноя-20, 19:04 (39)
      - Но addhandler используется в реальной жизни примерно никем, а в нереальной - с о, пох., 21-Ноя-20, 23:14 (50)
        
        Ну, друпал часто ставят на васян-хостинги, настроенные копипастой со stackoverfl, Аноним, 22-Ноя-20, 16:55 (63)
- Все нормально будет с addtype А вот если в регулярке забудешь конечный доллар - , Аноним, 21-Ноя-20, 19:00 (38) //
  - Угу, как обычно у белок-истеричек В борьбе за видимость безопасности - как раз , пох., 21-Ноя-20, 23:21 (53)
  - Ну смотря, что считатать нормой Вот мануал по AddTypehttp httpd apache org do, Alex_K, 22-Ноя-20, 01:45 (55)
Друпал еще жив Я думал еще году в 2010 всё, Анон1212, 21-Ноя-20, 16:49 (30) //
- Если ты жив значит и Друпал жив , Аноним, 21-Ноя-20, 17:38 (33)
нормально все обычная практика обновлять движёк курирую 4 сайта друпал , jura12, 21-Ноя-20, 19:39 (41) //
- Это даже не опечатка, т к надо потянуться в угол , Аноним, 21-Ноя-20, 20:49 (44) //
  - Поколение войнов, андройдов и девчёнок, которое не хочет тратить время на гуман, IRASoldier_registered, 25-Ноя-20, 21:07 (70)
- Держи нас в курсе , anoname, 21-Ноя-20, 22:35 (47)
Иэх Предчувсвую очередную боль у админов старой - работает, не трожь - закалки , Dzen Python, 21-Ноя-20, 20:36 (43) //
- Думаешь у них дело дойдет до тестить Свлится - будут исправлять, а пока работ, Аноним, 21-Ноя-20, 21:04 (45) //
  - Учитывая что речь о друпале - разумеется, свалится Или отвалятся модули, или ра, пох., 21-Ноя-20, 23:17 (52) //
    - Так что же - вротпресс лучше , InuYasha, 22-Ноя-20, 11:32 (58)
      - На одном стуле - пики точены,а на другом тоже так себе наборчик В целом не вижу , пох., 22-Ноя-20, 23:56 (65)
      - оба в мусорку, Аноним, 23-Ноя-20, 08:38 (67)
    - Не выдумывайте В данном случае для D7 патч на 440 строк правит три файла, из ко, хоп, 24-Ноя-20, 11:59 (69)
А главное что в патче есть переменная whitelist несмотря на то что они первые по, Аноним, 21-Ноя-20, 22:45 (48) //
- Мерзавцы Как они смеют Срочно на колени перед неграми, и сосат Ты уже прислал , пох., 21-Ноя-20, 23:16 (51) //
  - сделай все сам встань и с ни , jura12, 21-Ноя-20, 23:40 (54) //
    - Это тебе придется, самому У моих предков, к сожалению, никогда не было даже одн, пох., 22-Ноя-20, 15:29 (61)
      - Сочувствую К соседским ходили с ть , Аноним, 23-Ноя-20, 02:50 (66)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру