https://slinkov.ru/openforum/vsluhforumID3/106923.html В корректирующих выпусках (https://www.drupal.org/drupal-8.0.4) системы управления web-контентом Drupal 8.0.4, 7.43 и 6.38 устранена серия из 10 уязвимостей (https://www.drupal.org/SA-CORE-2016-001), одна из которых помечена как критическая и требует незамедлительной установки обновления. Проблема проявляется в Drupal 6 и позволяет обойти правила доступа и добавить произвольный контент на страницу, например, разместить свой код JavaScript. Для эксплуатации уязвимости у атакующего должен быть доступ к web-форме отправки данных, в которой присутствуют кнопки с расширенными функциями, доступными только администратору (универсальные формы, доступ к которым имеют как обычные пользователи, так и администраторы). Несмотря на то, что предназначенные для администратора кнопки скрываются, их можно использовать при указании в отправляемом запросе.<br><br><br><br>URL: https://www.drupal.org/drupal-8.0.4<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=43946<br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#11 Tue, 03 May 2016 03:46:47 GMT &gt; Умный человек знал, что тот, кто признает себя безгрешным - пойдёт против <br>&gt; центральной религиозной догмы<br><br>Почему бы тогда "Они же, услышав то [I]и будучи обличаемы совестью[/I], стали уходить один за другим, начиная от старших до последних"?<br><br>PS: прошу прощения, совсем случайно наткнулся, но промолчать не могу.<br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#10 Wed, 02 Mar 2016 04:46:11 GMT Вообще, представляешь последствия этого?<br><br>1. У программ появится алгоритм<br>2. Код станет гораздо более простым и понятным<br>3. Большая часть дыр уровня детского сада просто перестанет существовать как класс<br>4. Резко упадет потребность в рефакторинге и временные затраты на латание косяков<br>5. На улице окажется МОРЕ быдлокодеров<br>6. Социальная неудовлетворенность последних, митинги, нападения на людей...<br><br>дальше не буду продолжать... )<br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#9 Sun, 28 Feb 2016 23:28:20 GMT &gt;&gt;Нет, ну такой подход называется халтурностью.<br>&gt; "А кто без греха, тот пусть первый кинет в меня камень!" - <br>&gt; умный сказал чел, даже святой :) <br><br>Умный человек знал, что тот, кто признает себя безгрешным - пойдёт против центральной религиозной догмы и тем самым напросится на то, чтоб самого закидали камнями. У нас же всё проще, по шее надают без оглядки на догматы )))<br><br>&gt; А ещё - "Если бы строители строили дома с таким же качеством, <br>&gt; как программисты создают программы ... первый же залетевший дятел уничтожил бы <br>&gt; цивилизацию!" :) <br>&gt;&gt;"Фиксить скьюрити-баги по мере обнаружения".<br>&gt; А что - уже придумали хоть какой то другой метод?<br><br>Да, баги давно поклассифицированы, и по сути являются типовыми.<br><br>&gt; Мнение доставило, пишы ищо :-/ <br><br>Хотя, чего это я тут с бисером перед вечно голодным?<br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#8 Sun, 28 Feb 2016 23:21:47 GMT &gt; как пофиксить проблему, если не знаешь о проблеме?<br><br>Моделировать варианты входных данных и исполнения алгоритма. Взломщик занимается ровно тем же самым.<br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#7 Sat, 27 Feb 2016 14:07:21 GMT &gt;Нет, ну такой подход называется халтурностью.<br><br>"А кто без греха, тот пусть первый кинет в меня камень!" - умный сказал чел, даже святой :)<br>А ещё - "Если бы строители строили дома с таким же качеством, как программисты создают программы ... первый же залетевший дятел уничтожил бы цивилизацию!" :)<br><br>&gt;"Фиксить скьюрити-баги по мере обнаружения". <br><br>А что - уже придумали хоть какой то другой метод?<br><br>&gt;Для "фич" да, так и надо - добавляем по мере надобности. <br><br>Довожу месячный план для группы разработки:<br>Пофиксить секурити-багов:<br>- критических: 32.5<br>- не критических: 100500<br><br>Самому не смешно? Впрочем ты у нас сурьёзный ребёнок, стратег будущий (у мамки).<br><br>&gt;Но каждый секьюрити-баг я считаю хотя бы маленьким, но фак-апом. <br><br>И что?<br>&gt;Тут популярность и волны ни при чём. По крайней мере, таково моё мнение.<br><br>Мнение доставило, пишы ищо :-/<br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#6 Sat, 27 Feb 2016 11:00:34 GMT Автоапдейт? В продакшене? Без тестирования своих расширений на B/C?<br><br>Не, ну если перед этим делается бекап, и ресурс не активно используется, то в редких случаях прокатит...<br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#5 Sat, 27 Feb 2016 10:51:24 GMT типичное php, хотя drush up по крону не заставляет парится<br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#4 Sat, 27 Feb 2016 09:03:12 GMT &gt;Нет, ну такой подход называется халтурностью.<br><br>В данном конкретном случае, который выражается в отсутствии контроля прав на стороне сервера - возразить нечего. Такие вещи должны делаться раньше контроля на стороне клиента (в данном случае выражающемся в тупом скрытии контролов).<br><br>А вот в остальных случаях (если пройти по ссылке) не соглашусь. Да и вообще как пофиксить проблему, если не знаешь о проблеме? А количество выявляемых уязвимостей пропорционально популярности. Ну никому не интересно копаться в движке, если его всего 5% от рынка бесплатных, а во всем остальном рынке и того меньше. Профит минимален, а то и вообще в минус - времени затратишь больше на поиск дыры, чем получишь эффекта от ее использования.<br><br>Доставило: Saving user accounts can sometimes grant the user all roles (User module - Drupal 6 and 7 - Less Critical)<br><br>Т.е. возможность получения полного набора полномочий это less critical?<br><br><br><br><br> https://slinkov.ru/openforum/vsluhforumID3/106923.html#3 Sat, 27 Feb 2016 08:05:14 GMT Нет, ну такой подход называется халтурностью.<br><br>"Фиксить скьюрити-баги по мере обнаружения". Для "фич" да, так и надо - добавляем по мере надобности. Но каждый секьюрити-баг я считаю хотя бы маленьким, но фак-апом. Тут популярность и волны ни при чём. По крайней мере, таково моё мнение.<br>