Исходное сообщение
"Критическая уязвимость в системе управления web-контентом Dr..." Отправлено opennews, 21-Фев-19 21:30
В системе управления контентом Drupal выявлена (https://www.drupal.org/sa-core-2019-003) критическая уязвимость (CVE-2019-6340 (https://www.drupal.org/sa-core-2019-003)), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен наивысший уровень опасности - "Highly critical" (20∕25). Проблема устранена (https://cgit.drupalcode.org/drupal/commit/?h=8.5.x&id=3c6e78...) в выпусках Drupal  8.5.11 (https://www.drupal.org/project/drupal/releases/8.5.11) и 8.6.10 (https://www.drupal.org/project/drupal/releases/8.6.10). Уязвимость вызвана отсутствием должной чистки некоторых типов полей, передаваемых не через обычные формы ввода, а через API для взавимодействия с web-сервисами. Проблема проявляется в Drupal 8 при  разрешении методов PATCH или POST и активности встроенного модуля RESTful Web Services (rest) или любых внешних модулей с реализацией web-сервисов, таких как JSON:API (https://www.drupal.org/project/jsonapi) в Drupal 8 или Services (https://www.drupal.org/project/services) и RESTful Web Services (https://www.drupal.org/project/restws) в Drupal 7. В качестве обходного пути защиты можно отключить все модули с реализацией API для работы web-сервисов или запретить в настройках обработку запросов к ресурсам web-сервисов с использованием HTTP-методов PUT, PATCH и POST. Помимо входящего в базовый состав API RESTful Web Services выделено 8 проблемных внешних модулей (https://www.drupal.org/security/contrib), в которых может быть эксплуатирована данная уязвимость. Проблема затрагивает основную поставку Drupal только для ветки Drupal 8.x. Ветка Drupal 7 сама по себе не требует обновления, но вышеупомянутые варианты модулей для неё подвержены проблеме и требуют отдельного обновления. URL: https://www.drupal.org/psa-2019-02-19 Новость: https://www.opennet.ru/opennews/art.shtml?num=50187