There will be a security release of Drupal 7.x, 8.3.x, 8.4.x, and 8.5.x on March 28th 2018 between 18:00 - 19:30 UTC, one week from the publication of this document, that will fix a highly critical security vulnerability.
While Drupal 8.3.x and 8.4.x are no longer supported and we don't normally provide security releases for unsupported minor releases, given the potential severity of this issue, we are providing 8.3.x and 8.4.x releases that include the fix for sites which have not yet had a chance to update to 8.5.0.
- 3812 megtekintés
Hozzászólások
A https://www.drupal.org/ már felkészült (5xx Server Error) és már hivatalos neve is van: Drupalgeddon
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
drupalgeddon :D
- A hozzászóláshoz be kell jelentkezni
7.x javítás: https://ftp.drupal.org/files/projects/drupal-7.58.tar.gz
8.5.x javítás: https://ftp.drupal.org/files/projects/drupal-8.5.1.tar.gz
Egyetlen módosítás, hogy bekerült egy includes/request-sanitizer.inc fájl, ami törli a $_COOKIE, $_POST, $_GET változókból a "#"-el kezdődő értékeket. Azt, hogy ez milyen hibát triggerel egyelőre nem tudni, de nem túl elegáns javítás...
Update: Közben megjött a hivatalos hibaleírás: https://www.drupal.org/sa-core-2018-002
Tehát távoli kódfuttatásra ad lehetőséget, szóval kritikus a rövidtávú frissítés, mert várható, hogy hamarosan automatizált módon fogják támadni a drupalos siteokat.
- A hozzászóláshoz be kell jelentkezni
Security risk: Highly critical 21∕25
- How difficult is it for the attacker to leverage the vulnerability? AC:None = None (user visits page) +4 points
- What privilege level is required for an exploit to be successful? A:None = None (all/anonymous users) +4 points
- Does this vulnerability cause non-public data to be accessible? CI:All = All non-public data is accessible +5 points
- Can this exploit allow system data (or data handled by the system) to be compromised? II:All = All data can be modified or deleted +5 points
- Does a known exploit exist? E:Theoretical = Theoretical or white-hat (no public exploit code or documentation on development exists) +1 point
- What percentage of users are affected? TD:Default = Default or common module configurations are exploitable, but a config change can disable the exploit +2 points
Hát jó...
- A hozzászóláshoz be kell jelentkezni
D6 patch: https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-002.patch
D5 patch: https://www.drupal.org/files/issues/2018-03-28/sa-core-2018-002-d5.patch
Innen: https://www.drupal.org/project/d6lts/issues/2955130
------
Λ4И∤)4
- A hozzászóláshoz be kell jelentkezni
Nem Drupal alapú oldalt vett jó pár éve az állam jó pénzért?
=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?
- A hozzászóláshoz be kell jelentkezni
Hát, te közelebb voltál a tűzhöz, nekeg jobban kellene tudni :D
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Pár Drupal-os gov.hu site:
- http://ntgwebtarhely.gov.hu/ - NTG Webtárhely szolgáltatás
- http://neih.gov.hu/ - Nemzeti Kibervédelmi Intézet
- http://vallalkozoiportal.gov.hu/ - Vállalkozói Portál
- http://netenahivatal.gov.hu/
- http://kifu.gov.hu/kifu/ - Kormányzati Informatikai Fejlesztési Ügynökség: KIFU
- https://www.e-epites.hu/etdr
- http://jaras.gov.hu/bejelentkezes
- http://vek.praxis.gov.hu/
- http://media.gov.hu/
- https://www.palyazat.gov.hu/
- http://mkeh.gov.hu/
Ha valaki ingyen shellt akarna, ott van még egy jó hosszú lista (önbevallás alapján): https://www.drupal.hu/kategoriak/linkek/magyar-drupal-alap%C3%BA-webhel…
- A hozzászóláshoz be kell jelentkezni
subscribe
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Drupalgeddon 2: Profiting from Mass Exploitation
Volexity has observed a wide variety of actions and payloads attempted via this exploit. This includes reconnaissance efforts through simple echo statements or URL requests designed to verify exploitability, to malicious scripts installing backdoors and cryptocurrency miners. The attempt shown above is one of the most widespread attacks that Volexity has observed and, if successful, will culminate with the delivery of a cryptocurrency miner (XMRig).
The site has since suspended the usage of this wallet, however, not before a total of 544.74 XMR coin was mined. This is the equivalent of $105,566.80 USD.
Drupalgeddon 2 is absolutely upon us. The big difference between Drupalgeddon (2014) and Drupalgeddon 2 (2018) is there is now big money in these compromises. Cryptocurrency miners are being illicitly installed on systems at record rates and are generating hundreds of thousands of dollars for criminal operators. If you did not patch your Drupal CMS instance prior to April 13, 2018, there is very strong likelihood your web server has been compromised several times over.
via: https://www.volexity.com/blog/2018/04/16/drupalgeddon-2-profiting-from-…
more: https://thehackernews.com/2018/04/drupal-cryptocurrency-hacking.html
- A hozzászóláshoz be kell jelentkezni
Another Critical Flaw Found In Drupal Core—Patch Your Sites Immediately
According to a security advisory released by CKEditor, the XSS vulnerability stems from the improper validation of "img" tag in Enhanced Image plugin for CKEditor 4.5.11 and later versions.
This could allow an attacker to execute arbitrary HTML and JavaScript code in the victim's browser and gain access to sensitive information.
CKEditor has patched the vulnerability with the release of CKEditor version 4.9.2, which has also been patched in the CMS by the Drupal security team with the release of Drupal version 8.5.2 and Drupal 8.4.7.
Since CKEditor plugin in Drupal 7.x is configured to load from the CDN servers, it is not affected by the flaw.
via https://thehackernews.com/2018/04/drupal-site-vulnerability.html
- A hozzászóláshoz be kell jelentkezni
Szerintem felesleges mindent iderángatnod, mert ez nem kapcsolódik a címadó témához, amúgy pedig egy ckeditor plugin bug (amit valóban használ a Drupal 8 is), ezért messze nem érint annyi oldalt és nem is olyan súlyos.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Szerintem olyan szinten kapcsolódik, hogy akinek esetleg van Drupalos site-ja annak érdemes ismét frissítenie.
Ez valóban nem tűnik olyan egyszerűen kihasználhatónak, viszont nem veszélytelen: pl a támadó admin jogot tud szerezni, ha ír valami kommentet ami kihasználja a bugot, amit aztán az admin szerkeszteni akar (vagy lehet elég csak megnyitnia az admin oldalt, nem ismerem annyira a drupal admin-t) és a session id-t átküldi külső szerverre.
Az előző komment meg kb. utolsó hívás, ha most nem frissítesz, akkor hamarosan crypominingolni fognak a szervereden.
- A hozzászóláshoz be kell jelentkezni
Akár úgy is üzemeltethetek Drupal 8 oldalt, hogy használok CKEditort, de nem használom ezt a plugint. Máris nem vagyok érintett.
Szerintem már túlpörgöd ezt a témát. Bátran engedd el.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Újabb távoli kódfuttatást lehetővé tevő hiba: https://www.drupal.org/SA-CORE-2018-004
Annyiban jobb a helyzet az előzőhöz képest, hogy itt regisztrált user szükséges az exploithoz.
A javított változatok: Drupal 8.5.3, Drupal 7.59, Drupal 8.4.8
A patch: https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=bb6d396609600d11…
- A hozzászóláshoz be kell jelentkezni
Drupal 5
patch: https://gist.github.com/nevergone/0dfd1d1f30b4acc984474268d98c7f04
includes/bootstrap.inc: https://gist.github.com/nevergone/fbfec842a8307d994a0fa9843cbd293e
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
HUP javítva.
Thx!
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A nem teljes patch miatt login error üzenetet kaphattak azok, akik a főoldalon akartak bejelentkezni. Ez ma reggel javításra került!
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Sajnos kimaradt egy függvény és én meg pont ezt az egy dolgot nem teszteltem. A phpstorm pedig bekaphatja, amiért a hiányzó függvényre való hivatkozást hiba helyett elintézte egy warninggal.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
6-oshoz nem készíted el esetleg? :)
- A hozzászóláshoz be kell jelentkezni
ez az előző: https://github.com/d6lts/drupal/commit/d013345ae0776a370f4a17da4e1a2162…
ez a mostani: https://github.com/d6lts/drupal/commit/f7876dcf6428b934c928aa76dbbaacf2…
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Nagyon kösz.
- A hozzászóláshoz be kell jelentkezni
sub
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház
- A hozzászóláshoz be kell jelentkezni
Úgy látszik az ügyfélkapu is ezen működött (és a kapcsolódó szolgáltatások), mert elérhetetlen. Annyi eszük sem volt, hogy legalább egy karbantartás alatt vagy hasonlót bedobjanak, egyszerűen semmi sem jön be... Persze itt ki van írva: https://magyarorszag.hu/uzemeltetesiinfo
De tényleg olyan nagy meló lett volna egy redirect minden portálról, amit érint és emiatt down? Gratulálok, végülis "megértem" az üzemeltetést, hiszen ennyi milliárdért ne is várjunk jobbat, ugye?!
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
Plusz ez egy kicsi patch volt, már rég végezhettek volna.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Lehet az asp.lgov.hu subdomainjeivel kezdtek. XD
- A hozzászóláshoz be kell jelentkezni
- http://vek.praxis.gov.hu/CHANGELOG.txt - Drupal 7.51, 2016-10-05
- https://www.e-epites.hu/CHANGELOG.txt - Drupal 7.58, 2018-03-28
- http://kifu.gov.hu/CHANGELOG.txt - (Kormányzati Informatikai Fejlesztési Ügynökség) Drupal 7.58, 2018-03-28
- https://abpe.nav.gov.hu/abpe_joomla/tanfolyamkereso/tcpdf/ - dirlist / Joomla 4.8.005 (2009-09-17)
- http://mnl.gov.hu/CHANGELOG.txt - (Magyar Nemzeti Levéltár) Drupal 7.58, 2018-03-28
- http://www.toldacuccot.hu/CHANGELOG.txt - Drupal 6.30, 2014-01-15
- http://autoklub.hu/CHANGELOG.txt - Drupal 6.25, 2012-02-29
- http://vallalkozoiportal.gov.hu/ - Karbantartás alatt
- http://netenahivatal.gov.hu/ - Karbantartása alatt
- http://jaras.gov.hu/ - Karbantartás alat
- A hozzászóláshoz be kell jelentkezni
Önmagában a changelog verziója nem biztos, hogy bármit is mond. Ha kézzel patchelt / cserél fájlokat, akkor a chnagelog nem fog változni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Igen, plusz a Drupal 8 már nem is tartalmaz ilyen changelogot, nem véletlenül.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Azon a feltételezésen alapult, hogy ha az 1 hónappal ezelőttit így frissítette, akkor ezt is úgy fogja. Pár nap múlva kiderül...
- A hozzászóláshoz be kell jelentkezni
Poénból kiteszem ezt a HUP docroot gyökerébe:
https://abpe.nav.gov.hu/abpe_joomla/tanfolyamkereso/tcpdf/CHANGELOG.TXT
Aztán lesnek a kiddie-k, hogy miért nem fog rajta a Joomla exploit. :D
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A changelog nem, de ha a .../includes/bootstrap.inc is elérhető, akkor az már elég sokat elmond.
- A hozzászóláshoz be kell jelentkezni
Mire gondolsz pontosan?
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Arra, hogy ha az /includes/bootstrap.inc megtekinthető kintről, akkor abból kiderül, hogy patchelték vagy sem.
- A hozzászóláshoz be kell jelentkezni
De miért lenne megtekinthető? Régen rossz (minden más okból is), ha ezek a fájlok megtekinthetőek kívülről.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Az nginx-es drupal beállítás, ajánlás konfigjában (ami a neten innen-onnan összeollózható) nincs tiltva ennek a mappának az elérhetősége kívülről :-(
Tudtok ajánlani jó konfigot nginx+drupal7-hez?
- A hozzászóláshoz be kell jelentkezni
Minden ilyen mappának tiltott az elérhetősége normál esetben.
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Apache alatt a .htaccess-el szabályozva igen, de NGINX alatt, hogyan kell ezt biztonságosan beállítani? (mert nem biztos, hogy az általam alkalmazott megoldás jó) És sajnálatosan a drupal hivatalosan nem támogatja annyira az NGINX-et, hogy adjon hozzá egy garantáltan jó NGINX konfig fájlt, ami egyenértékű a .htaccess-el)
- A hozzászóláshoz be kell jelentkezni
Az nginx támogat .htaccess-hez hasonló dolgot? Vagyis ami nem globális, hanem a projecttel együtt szállítható beállítás. Én úgy tudom, hogy nem. Akkor miről beszélünk?
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
Tudomásom szerint hivatalosan támogatják az nginx-et. https://www.drupal.org/docs/8/system-requirements/web-server
De egyik webszerverhez sem adnak konfigot, így apache-hoz sem! Attól, hogy a .htaccess-t odateszik, te még írhatsz borzasztó lyukas konfigot.
- A hozzászóláshoz be kell jelentkezni
Anélkül, hogy nagy pofám lenne, de úgy gondolom az üzemeltetéshez is érteni kell, mint ahogy fejleszteni is megtanul az ember vagy autót vezetni.
https://www.nginx.com/resources/wiki/start/topics/recipes/drupal/
Nem mondom, hogy ez egy überbiztonságos konfig, de talán alapnak jó lehet amelyet aztán az egyedi igényekre lehet szabni.
- A hozzászóláshoz be kell jelentkezni
Én azt nem tudom megérteni, hogy ha ezek az oldalak tényleg azokat a drupal/joomla/stb CMS-t használja, akkor legalább tiltsák már a *.txt fájlok elérhetőségét.
- A hozzászóláshoz be kell jelentkezni