Acest articol are scopul de a face lumin\u0103 asupra defectelor recente descoperite \u00een Drupal, care l-au expus hackerilor. Echipa CMS Drupal a stabilit un defect de securitate foarte critic care permite hackerilor s\u0103 preia un site doar prin accesarea unei adrese URL. Acest lucru \u00eenseamn\u0103 c\u0103 proprietarii de site-uri Drupal ar trebui s\u0103 actualizeze imediat site-urile lor la Drupal 7.58 sau Drupal 8.5.1, \u00een func\u021bie de versiunea pe care o folosesc.<\/p>\n
Echipa Drupal a anun\u021bat s\u0103pt\u0103m\u00e2na trecut\u0103 despre patch-urile recente, c\u00e2nd a spus c\u0103 „exploat\u0103rile ar putea fi dezvoltate \u00een c\u00e2teva ore sau zile” dup\u0103 dezv\u0103luire. Acest defect de securitate este \u00eentr-adev\u0103r unul grav, echipa Drupal atribuindu-i un scor de gravitate de 21 (pe o scar\u0103 de la 1 la 25). Bug-ul urm\u0103rit sub identificatorul CVE-2018-7600 – permite unui atacator s\u0103 execute orice cod pe care \u00eel dore\u0219te \u00eempotriva componen\u021bei centrale a CMS, prelu\u00e2nd efectiv site-ul.<\/p>\n Atacatorul nu trebuie s\u0103 fie \u00eenregistrat sau autentificat pe site-ul vizat, iar tot ce atacatorul trebuie s\u0103 fac\u0103 este s\u0103 acceseze adresa URL.<\/p>\n Drupalgeddon2<\/strong><\/p>\n Comunitatea Drupal a poreclit deja acest bug Drupalgeddon2 dup\u0103 bug-ul de securitate Drupalgeddon (CVE-2014-3704, SQL injection, severitate 25\/25) dezv\u0103luit \u00een 2014, care a dus la compromiterea a numeroase site-uri Drupal pentru ani buni dup\u0103 descoperire.<\/p>\n Echipa Drupal afirm\u0103 c\u0103 nu a fost con\u0219tient\u0103 de atacurile care au exploatat defectul c\u00e2nd au publicat alerta de securitate, dar to\u021bi cei de la echipa oficial\u0103 de securitate Drupal se a\u0219teapt\u0103 ca aceast\u0103 vulnerabilitate s\u0103 intre \u00een exploatare activ\u0103 \u00een c\u00e2teva ore sau zile. Patching-ul nu trebuie ignorat.<\/p>\n EOLed Drupal 6, de asemenea, afectat<\/strong><\/p>\n Pe l\u00e2ng\u0103 repara\u021biile pentru cele dou\u0103 ramuri principale ale Drupal -7.x \u0219i 8.x – echipa Drupal a anun\u021bat patch-uri pentru vechea versiune 6.x care a fost \u00eentrerupt\u0103 \u00een februarie 2016.<\/p>\n Produsele firewall pentru Web sunt a\u0219teptate s\u0103 primeasc\u0103 actualiz\u0103ri \u00een zilele urm\u0103toare pentru a face fa\u021b\u0103 \u00eencerc\u0103rilor de exploatare.<\/p>\n Ce pot face proprietarii de site-uri Drupal<\/strong><\/p>\n Dezvoltatorii Drupal recomand\u0103 mai \u00eent\u00e2i patch-uri, iar dac\u0103 acest lucru nu este posibil, aplica\u021bi solu\u021bii de atenuare, cum ar fi \u00eenlocuirea temporar\u0103 a unui site Drupal cu o pagin\u0103 HTML static\u0103, astfel \u00eenc\u00e2t site-ul Drupal vulnerabil s\u0103 nu serveasc\u0103 URL-urile vulnerabile pentru vizitatori.<\/p>\n \u00cen plus, este recomandat ca toate instal\u0103rile Drupal \u0219i in-dev s\u0103 fie actualizate sau eliminate complet p\u00e2n\u0103 c\u00e2nd patch-ul poate fi aplicat.<\/p>\n Pentru mai multe informa\u021bii despre acest aspect, accesa\u021bi https:\/\/www.drupal.org\/security<\/p>\n","protected":false},"excerpt":{"rendered":" Acest articol are scopul de a face lumin\u0103 asupra defectelor recente descoperite \u00een Drupal, care l-au expus hackerilor. Echipa CMS Drupal a stabilit un defect de securitate foarte critic care permite hackerilor s\u0103 preia un site doar prin accesarea unei adrese URL. Acest lucru \u00eenseamn\u0103 c\u0103 proprietarii de site-uri Drupal ar trebui s\u0103 actualizeze imediat<\/p>\n","protected":false},"author":1,"featured_media":1213,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[151],"tags":[],"class_list":["post-338","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noutati"],"yoast_head":"\n
\n
\nDrupal este afectat de bre\u0219a RCE neautentificata<\/strong><\/p>\n