28 марта 2018 года была опубликована уязвимость удаленного выполнения кода в нескольких версиях Drupal 7.x и 8.x. Это потенциально позволяет злоумышленникам использовать несколько векторов атаки на сайты Drupal, что может привести к тому, что сайт будет полностью скомпрометирован. Возможные последствия этого:

  1. Установка майнеров и других вредоносных программ на сайте.
  2. Кража пользовательских данных.
  3. Изменение платежных данных.
  4. Кража исходного кода сайта.
  5. Электронные рассылки с сайта.

13 апреля 2018 была опубликована информация о наличии автоматизированных атак, пытающихся скомпрометировать сайты Drupal 7 и 8, используя уязвимость, описанную в SA-CORE-2018-002.


Решение

Обновите ядро Drupal 7 или 8 до самой последней версии либо примените соответствующие патчи.

  • Если вы используете 7.x, обновите на Drupal 7.58 . (Если вы не можете обновить сразу, вы можете применить этот патч, чтобы исправить уязвимость, до тех пор, когда сможете полностью обновить ее)
  • Если вы используете 8.5.x, обновите на Drupal 8.5.1 . (Если вы не можете обновить сразу, вы можете применить этот патч, чтобы исправить эту уязвимость, до тех пор, когда сможете полностью обновить ее)

Drupal 8.3.x и 8.4.x больше не поддерживаются. Однако, учитывая потенциальную серьезность этого вопроса, группой безопасности Drupal были предоставлены релизы для 8.3.x и 8.4.x версий, которые включают исправления для сайтов, которые еще не имели возможности обновиться до 8.5.0.

Страница отчета об обновлении вашего сайта будет рекомендовать выпуск 8.5.x, даже если вы находитесь на 8.3.x или 8.4.x. Рекомендуем найти время, чтобы обновиться до последней поддерживаемой версии после установки этого обновления для системы безопасности.

  • Если вы используете 8.3.x, обновите на Drupal 8.3.9 или примените этот патч.
  • Если вы используете 8.4.x, обновите на Drupal 8.4.6 или примените этот патч.

Уязвимость SA-CORE-2018-002 также затрагивает Drupal 8.2.x и более ранние версии, которые больше не поддерживаются, а также Drupal 6.

  • Если вы используете любую из этих версий Drupal 8, обновите ее до более поздней версии и следуйте приведенным выше инструкциям.
  • Если вы используете Drupal 6.x, установите этот патч.


Поможем защитить Ваш сайт 
 

d.kochetov