Обновление Drupal 8.3.4 и 7.56 с устранением критической уязвимости

22.06.2017 23:15

В корректирующих выпусках системы управления контентом Drupal 8.3.4 и 7.56 устранены три уязвимости. Одной из проблем (CVE-2017-6920) присвоен наивысший уровень опасности - ошибка в обработчике сериализации объектов в парсере PECL YAML может привести к удалённому выполнению кода на стороне сервера.

Вторая уязвимость (CVE-2017-6921) присутствует в коде проверки REST-параметров, через которые осуществляется обработка файлов. На сайтах, на которых включен модуль rest (RESTful Web Services), активирован REST-ресурс file и разрешены запросы PATCH, атакующий может получить или зарегистрировать учётную запись пользователя с правами загрузки файлов и изменения ресурса file.

Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46749-drupal

Ключевые слова: drupal

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (2)

RSS

3, Аноним (-), 14:46, 23/06/2017 [ответить]	+4 +/–
> Третья уязвимость (CVE-2017-6922) позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями и не ассоциированными с определённым содержимым сайта. Что нарушает анонимность анонимных пользователей со стороны других анонимных пользователей.

4, YetAnotherOnanym (ok), 16:47, 23/06/2017 [ответить]	+1 +/–
> позволяет анонимным пользователям получить доступ к файлам, загруженным другими анонимными пользователями Вот так выпускник трёхнедельных курсов уеб-дизайна Вася наградил каждого заказчика анонимной файлопомойкой, даже не догадываясь об этом.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: