A jelenség: hiába nincs a "be nem jelentkezett felhasználónak" adott esetben bármely tartalomhoz hozzáférése, mégis olvasási és szerkesztési jogkörrel ruházódik fel. A gyakorlatban ez azt jelenti, hogy minden Drupal 6.10 alatt ACL-lel szabályzott tartalmat bárki módosíthat kedvére.
Sürgősen ajánlott patchelni a Content Access modult! A patch letölthető innen.
(A Drupal 6.10-re történt frissítés előtti tartalmakat nagy valószínűséggel nem érinti ez a probléma.)
- A hozzászóláshoz be kell jelentkezni
- 2518 megtekintés
Hozzászólások
Ezentúl minden külső modult be fogunk jelenteni? Szerintem akit érint, annak a drupal-security lista elég információval szolgál.
Számtalan külső modul rejthet problémákat, ezért nem kell őket ész nélkül használni, nekem pl. a fenti modulra még soha nem volt szükségem, szóval olyan irtó elterjedt mégsem lehet.
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
[flame]
attol hogy te nem hasznaltad attol meg lehet gyakran hasznalt modul ;)
[/flame]
amugy meg "make code not war!" :D
---
Tévedni mindenkinek szabad, csak a mérnöknek észre kell vennie.
- A hozzászóláshoz be kell jelentkezni
igaz, de ha úgy nézzük akkor a "gyakran használt" modulokban lévő minden egyes bugról szóló hírt be lehetne küldeni :P
- A hozzászóláshoz be kell jelentkezni
Én régebben használtam ezt a modult, és egyszer előjött egy ilyen probléma a rendszerrel. :(
Az viszont még régebbi Drupal verzió volt, de nem emlékszem már, mit csináltam akkor vele.
Nem állítom, hogy ACL volt a ludas, már nem tudom.
- A hozzászóláshoz be kell jelentkezni
Ha veszélyes (aka security) bug, akkor miért issue queue-ba lett beküldve a security team értesítése helyett? Ha nem veszélyes bug, akkor miért van róla egyáltalán hír (vagy a másik heti n! hasonlóról miért nincs hír)? Nem értem én ezt, de ugye MCNW, úgyhogy vissza a vimhez...
- A hozzászóláshoz be kell jelentkezni
Nem tudom, miért nem került bele a sec. team-hez. Valószínűleg, mert ők a core-ral foglalkoznak.
A hiba pedig akárhogyan is nézzük valós! És nagy kalamajkát tud okozni. Nem kell hozzá sok fantázia, hogy kitaláld, miért, ugye?
- A hozzászóláshoz be kell jelentkezni
elso kerdesedre a valasz: valoszinuleg az uj release nem volt security release-kent taggelve, ezert nincs SA.
Nem kell hozzá sok fantázia, hogy kitaláld, miért, ugye?
szerintem van halvany segedfogalma rola. inkabb talan arra gondolt, hogy az n egyeb contrib hibabol is csinaljunk hirt?
- A hozzászóláshoz be kell jelentkezni
Akkor máshogy fogalmazom meg: szerinted az nem veszélyes - sürgősen javítandó hiba - ha valaki szabadon átírhatja a weblapod tartalmát?
A cikk az érintetteknek szól, azoknak, akik bizony Drupal6.10-et használnak és olyan tartalmakat is közzétesznek, amik nem mindenki számára érhetők el. Olyan nehéz elképzelni, hogy M.o.-on csak én lennék egyedül érintett? Csűrheted-csavarhatod, akkor is a jóindulat beszélt belőlem, mikor trey-nek elküldtem a cikket. A híreket pedig trey publikálja - lásd lentebbi hozzászólást -, ő dönti el, hogy ez az írás fontos, vagy sem. Ha téged nem érint, akkor nem kell hozzászólni. Olyan nehéz megállni?
- A hozzászóláshoz be kell jelentkezni
Jó, de ez nem az alaprendszerhez köthető hiba, hanem egy ki tudja ki által fejlesztett külső modulról. Annyira nagy baj pedig tényleg nem lehet, mert tényleg nem jelent meg a security listán, szóval ne akarjunk itt badarságokról vitatkozni.
Ez egy ki tudja honnan származó, és hány ember által használt külső modul, amiben találtak egy hibát... na és, külső moduloknál ez simán előfordulhat, nem kell őket ész nélkül használni.
olyan tartalmakat is közzétesznek, amik nem mindenki számára érhetők el.
Erre pedig jópár egyéb lehetőség van, úgy csinálsz, mintha ez lenne az egyetlen "világmegváltó" modul arra, hogy korlátozd egy adott tartalom elérését, TAC, TAC lite, kb. ezek jutottak most eszembe, de van még.
Szóval messze nem olyan súlyos a dolog, mint amilyennek felvázoltad, csak kellett neked a vihar a biliben.
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
Bocs, de miért nem a windows defenderes cikkben trollkodtok inkább? Az jobban belefér a hup által fedett témakörökbe, mint a drupal? Nektek biztos...
Komolyan mondom az ilyen emberek miatt már xedjére merül föl bennem hogy itt kellene hagyni a hupot és csinálni egy normális portált meghívásos alapon, aki trollt hív meg azt meg kirúgni és rágyújtani a házát.
Ne haragudj trey, tisztelem és becsülöm a munkád, nem a huppal van gondom hanem a trollokkal.
- A hozzászóláshoz be kell jelentkezni
Legyen igazad. Lásd a többi hozzászólást. :)
Mondjuk azt nem teljesen értem, hogy mit szerettél volna mondani a Windows Defenderes cikkel, de biztosan velem van a baj. :)
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
Nem is kell érteni a másikat, trollkodni anélkül lehet csak igazán...
- A hozzászóláshoz be kell jelentkezni
Olvasd már el a nyitó témát és az összes hozzászólást, kérlek. Miért trollkodás az, hogy volt egy "nem túl átgondolt" témafelvetés, mi pedig reagáltunk rá, hogy nem pont úgy van a dolog, ahogy a témaindító leírta.
-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
- A hozzászóláshoz be kell jelentkezni
1. Attól még, hogy téged nem érdekel/érint mást még igen (pl engem).
2. Attól még hogy vannak rajtad kívül is trollok bőven, te még nem leszel normális.
3. Nem vagy trey, nem dolgod eldönteni hogy mi kerüljön ki és hova.
Egyébként meg hupper kiegészítés felrakva, nevergone mint első számú troll felvive, nyugodtan válaszolj én nem fogom olvasni sem....
- A hozzászóláshoz be kell jelentkezni
A hup fuggoseget okoz, nem lehet csak ugy itthagyni. En probaltam :)
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
Replacednek sikerült. :)
- A hozzászóláshoz be kell jelentkezni
Javítsatok ki, vagy mutassatok linket, de sehol nem olvastam, hogy contrib modulok secbugjait _nem_ a sec teamnek kell először jelenteni - sőt, épp az ellenkezőjéről tesz bizonyságot a fenti linken olvasható első két mondat (kiemelés tőlem): "If you discover a vulnerability in Drupal core or contributed module, keep it confidential. Mail us at security()drupal!org, do not post in the issue tracker." (Hint: másképp hogy garantálod, hogy nem jelennek meg 0-day exploitok?) Talán az sem véletlen, hogy a fent már linkelt oldalon kívül azt is leírták, mi a teendő, ha engem, mint józsika1243 modulfejlesztőt keres meg a sec team.
Értem az érvelésed, csak ugye elbeszélünk egymás mellett: nem azt mondom, hogy a hiba nem valós, továbbá elismerem, hogy nagy kalamajkát tud okozni - azt nem értem, hogy a valós sec bugokat miért nem úgy kezelik, mint ahogy valós sec bugok esetében ez elvárható (és lépésről dokumentált). De erről már nem te tehetsz, se nem trey, se nem én - tehát ezt a "vitát" nem itt kéne folytatnunk, hanem ott, ahonnan származik (talán az érintett issue queue-ban? d.o fórumban? nem tudom).
A másik dolog, amit nem értek, hogy ha ez itt főoldalas hír, akkor d.o-n/d.hu-n (ahol a célközönség lakik) miért nem az (miért nem küldted be/került ki d.hu-n); illetve ha akkora sec bug, akkor miért nincs róla SA. (Talán mert nem sec bugként volt jelentve?)
Jöhetnek a kövek.
- A hozzászóláshoz be kell jelentkezni
:) Örülj neki, hogy a probléma és annak megoldása írásba foglalása hungaricum lett. ;) A hibát én észrevettem, és elkezdtem keresni a megoldást. Azért küldtem el trey-nek mert így volt kedvem. Mit nem lehet ezen megérteni?
- A hozzászóláshoz be kell jelentkezni
De sok trey van ebben a topicban.... ;-)
Hagy döntse már Ő el, hogy mit rak ki és mit nem.
- A hozzászóláshoz be kell jelentkezni