Новости

Разработчик CMS-системы Drupal устранил критическую уязвимость

29.03.2018
Разработчик CMS-системы Drupal устранил критическую уязвимость

28.03.2018 производитель системы управления содержимым веб-сайтов (Content Management System, CMS) Drupal опубликовал бюллетень безопасности с описанием опасной критической уязвимости в ядре системы.

Уязвимость CVE-2018-7600 затрагивает различные версии CMS Drupal, включая 6, 7.x и 8.x. Её эксплуатация может позволить злоумышленнику удаленно выполнить произвольный код, полностью скомпрометировать целевой сайт, получить доступ к конфиденциальной информации, изменить или удалить данные.

Согласно бюллетеню, версию CMS-системы 7.x следует обновить до 7.58, версию 8.5.x — до 8.5.1.

Версии Drupal 8.3.х и 8.4.х, техническая поддержка и выпуск обновлений для которых был прекращен, необходимо обновить до версий 8.3.9 и 8.4.6 соответственно. Вместе с тем производитель рекомендует по возможности обновить устаревшие версии системы до последней — 8.5.1.

Ранние версии CMS-системы, например Drupal 8.2.x и другие, следует обновить до более поздних и затем применить соответствующее обновление, устраняющее опасную уязвимость.

Пользователям CMS-системы Drupal 6 необходимо обратиться к вендору, участвующему в программе долгосрочной поддержки Drupal 6 Long Term Support (D6LTS).

Сведений об эксплуатации уязвимости на момент выпуска бюллетеня не было, но разработчик прогнозирует, что эксплойты для неё могут появиться в ближайшее время, в связи с чем просит администраторов сайтов незамедлительно установить необходимые обновления.

Если обновление по каким-то причинам невозможно, то временным решением проблемы может замещение сайта Drupal статической HTML-страницей.