Drupal после обновления может стать сыром — таким же дырявым
Один из экспертов выявил несколько проблемных моментов в системе обновления CMS Drupal. На текущий момент исправлений для найденных уязвимостей разработчики не предложили.
Вместе с Wordpress и Joomla Drupal входит в тройку лидирующих бесплатных CMS. И также как у коллег в коде Drupal есть неприятные моменты.
Разработчики CMS стремятся как можно сильнее упростить процесс обновления ПО. Однако такие усилия могут приводить к совершенно другому результату.
Эксперт выявил странный алгоритм работы автоматического обновления Drupal. Если в процессе получения обновления возникли проблемы со связью, то CMS все равно выдает сообщение о наличии актуальных последних версий модулей, хотя свежий софт не мог быть получен. Причем такие проблемы возникают в версиях 7 и 8, а версия 6 Drupal все-таки выдает сообщение об обрыве соединения.
Нажатие на кнопку ручного обновления в таких ситуациях может привести к бесконечной черед запросов к серверу drupal.org.
Также апдейты пересылаются без шифрования и без проверок аутентификации. Таким положением можно воспользоваться для перехвата трафика и внедрения зловредного кода.
Эксперт сумел воспользоваться уязвимостями, установить на тестовый сайт зараженную версию обновления и получил доступ к паролям пользователей.
Огорчает то, что разработчики в курсе уязвимостей с 2012 года, но работы по устранению дыр начаты только недавно. Патчи для устранения потенциальной опасности пока не выходили.
Новости
Доля рынка поисковых систем Google падает по мере роста конкурентов04 мая 2024, 07:20Крупное обновление VPS-планов у Ispserver
30 апреля 2024, 06:57ПОЧЕМУ ВАМ СЛЕДУЕТ ИЗБЕГАТЬ ИСПОЛЬЗОВАНИЯ AVIF-ИЗОБРАЖЕНИЙ В WORDPRESS
18 апреля 2024, 09:27Релиз OpenAI GPT-5 может состояться уже этим летом
12 апреля 2024, 08:27WordPress 6.5 - что нового? Обзор крупного обновления CMS
04 апреля 2024, 11:05