Патчим Drupal 7... Пока не поздно...

Тема в разделе "Drupal", создана пользователем upsarin, 20 окт 2014.

Информация :
Прежде чем создать новую тему внимательно ознакомьтесь с правилами раздела
Модераторы: DMS
  1. upsarin

    upsarin Создатель

    Регистр.:
    11 дек 2006
    Сообщения:
    24
    Симпатии:
    18
    Очередная критическая уязвимость в Drupal 7
    Вслед за уязвимостью в XML-RPC, недавно компанией Sektion Eins была найдена уязвимость, которой подвержены все версии 7 ветки. Она позволяет выполнить произвольный SQL-запрос в БД друпала не имея никаких прав в системе. Опасность определена как наивысшая. 15 октября вышло обновление ядра до версии 7.32, которое устраняет эту уязвимость. Разработчики настоятельно советуют обновить ядро немедленно. Обновление не займёт много времени, необходимо обновить только файл /includes/database/database.inc. Спасти сайты до обновления может только блокировка сайта, maintenance mode не поможет.
    http://habrahabr.ru/post/240721/

    Пример использования:
    http://blog.sucuri.net/2014/10/drupal-sql-injection-attempts-in-the-wild.html
     
    albataev, Nei и Avanege нравится это.
  2. any72key

    any72key Создатель

    Регистр.:
    13 дек 2014
    Сообщения:
    17
    Симпатии:
    6
    об уязвимости было известно достаточно давно, почему разработчики не выпустили заплатку?
     
  3. Nei

    Nei Nosce te ipsum

    Регистр.:
    5 сен 2009
    Сообщения:
    600
    Симпатии:
    468
    Гром не грянет - разработчик не перекрестится.
     
  4. albataev

    albataev Писатель

    Регистр.:
    7 май 2013
    Сообщения:
    9
    Симпатии:
    0
    То есть просто файлик туда подложить новый? Есть вариант скачать его? на drupal.org что то не нашел ((
    На поддержку товарищ попросил сайт как раз на друпале взять. Я его толком не знаю пока, только разбираюсь. Опасаюсь, чтобы не слетелео ничего...
    Ничего переставлять не надо?

    Блин. Сайт уже 2 месяца с уязвимостью!!…. :-(
     
  5. edmi

    edmi Создатель

    Регистр.:
    4 янв 2015
    Сообщения:
    10
    Симпатии:
    5
    оу. /me пошел обновлять сайт
     
    albataev нравится это.
  6. albataev

    albataev Писатель

    Регистр.:
    7 май 2013
    Сообщения:
    9
    Симпатии:
    0
    edmi, может вы в курсе, при обновлении никаких конфигов не надо? Joomla к примеру иногда брыкалась у меня, я почему с опасением на Drupal смотрю
     
  7. edmi

    edmi Создатель

    Регистр.:
    4 янв 2015
    Сообщения:
    10
    Симпатии:
    5
    обновление без конфигов.
    обычное для друпала обновление было:
    1) зайти под админом
    2) удалить через фтп или ссх все дефолтные папки и файлы кроме папки sites. полезно оставить robots.txt если меняли там.
    3) закачать из нового дистрибутива
    4) запустить http://site.ru/update.php
     
    Diamir и albataev нравится это.