OpenForum RSS: Критическая уязвимость в системе управления web-контентом Dr... https://www.opennet.ru/openforum/vsluhforumID3/116645.html В системе управления контентом Drupal выявлена (https://www.drupal.org/sa-core-2019-003) критическая уязвимость (CVE-2019-6340 (https://www.drupal.org/sa-core-2019-003)), позволяющая удалённо выполнить произвольный PHP код на сервере. Уязвимости присвоен наивысший уровень опасности - "Highly critical" (20&#8725;25). Проблема устранена (https://cgit.drupalcode.org/drupal/commit/?h=8.5.x&id=3c6e7879b1ea91b60cef0185faad70a88e74fcc2) в выпусках Drupal 8.5.11 (https://www.drupal.org/project/drupal/releases/8.5.11) и 8.6.10 (https://www.drupal.org/project/drupal/releases/8.6.10).<br><br><br>Уязвимость вызвана отсутствием должной чистки некоторых типов полей, передаваемых не через обычные формы ввода, а через API для взавимодействия с web-сервисами. Проблема проявляется в Drupal 8 при разрешении методов PATCH или POST и активности встроенного модуля RESTful Web Services (rest) или любых внешних модулей с реализацией web-сервисов, таких как JSON:API (https://www.drupal.org/project/jsonapi) в Drupal 8 или Services (https:/ Критическая уязвимость в системе управления web-контентом Dr... (Ordu) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#43 Sat, 23 Feb 2019 17:11:32 GMT &gt;&gt; Вот делать мне больше нечего, кроме как решать проблемы пэхапунов. Ну, реально.<br>&gt;&gt; Зачем я буду писать все эти замороки, есть у меня есть <br>&gt; ну так, чтоб немного отличаться от абстрактного диванного теоретика, не?<br><br>Нет, это недостаточная причина.<br><br>&gt;&gt; Rocket[1]? Который генерит скомпилированный нативный бинарь, выполняя на этапе компиляции <br>&gt; и для любого мелочного исправления нужно его перекомпилировать. (и еще пятнадцать раз, <br>&gt; потому что с первого не всегда получается правильно) <br><br>Естественно. Ещё его надо тестировать после любого мелочного исправления. Вам что надо, надёжная система или пошатывающаяся от малейшего прикосновения гора костылей?<br><br>&gt;&gt; всю работу, которую можно выполнить на этапе компиляции, чтобы не выполнять <br>&gt; включая сборку кода, который вероятнее всего не будет вызван ровно ни разу <br>&gt; до следующей перекомпиляции. А теперь представляем на нем такого типичного монстра <br>&gt; каких пишут для больших сайтов на той дрюпалке - и ужасаемся.<br><br>Я не понял в чём проблема? Нехватка процес Критическая уязвимость в системе управления web-контентом Dr... (пох) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#42 Sat, 23 Feb 2019 16:04:46 GMT &gt; Вот делать мне больше нечего, кроме как решать проблемы пэхапунов. Ну, реально. <br>&gt; Зачем я буду писать все эти замороки, есть у меня есть <br><br>ну так, чтоб немного отличаться от абстрактного диванного теоретика, не?<br>&gt; Rocket[1]? Который генерит скомпилированный нативный бинарь, выполняя на этапе компиляции <br><br>и для любого мелочного исправления нужно его перекомпилировать. (и еще пятнадцать раз, потому что с первого не всегда получается правильно)<br><br>&gt; всю работу, которую можно выполнить на этапе компиляции, чтобы не выполнять <br><br>включая сборку кода, который вероятнее всего не будет вызван ровно ни разу до следующей перекомпиляции. А теперь представляем на нем такого типичного монстра каких пишут для больших сайтов на той дрюпалке - и ужасаемся. Оно,простите, сколько времени хотя бы перезапускается? (вот php-fpm, например - медленно, приходится костыликами обкладывать - но его-то мне и не надо перезапускать при изменении кода)<br><br>&gt; Так в чём проблема-то, я не понял? В том смысле, что я <br><br>попробуй код из тво Критическая уязвимость в системе управления web-контентом Dr... (Ordu) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#41 Sat, 23 Feb 2019 15:10:12 GMT &gt;&gt; И что? Сделай либо API в ядре CMS <br>&gt; ну сделай, что-ли... только, полагаю, описание всех возможных в твоей cms апи <br>&gt; закончат читать к моменту, когда конкуретны на вротпрессе и дрюпалке уже <br>&gt; пятую версию сайта выкатят.<br><br>Вот делать мне больше нечего, кроме как решать проблемы пэхапунов. Ну, реально. Зачем я буду писать все эти замороки, есть у меня есть Rocket[1]? Который генерит скомпилированный нативный бинарь, выполняя на этапе компиляции всю работу, которую можно выполнить на этапе компиляции, чтобы не выполнять её во время выполнения. Который очень строго обходится с типами, позволяя мне полагаться на то, что если у меня есть переменная u8, то мне не удастся _нечаянно_ какой-нибудь арифметической операцией превратить её значение в String или в i32. В пхп, я подозреваю, при попытке разработать подобный API, половину времени придётся потратить на размышления, как спроектировать API, чтобы были бы невозможными нечаянные конфузы вызванные неявными автоматическими преобразованиями типов. Ты не предст Критическая уязвимость в системе управления web-контентом Dr... (Kuromi) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#40 Sat, 23 Feb 2019 14:04:24 GMT &gt; Неужели кто-то ещё остался на php и юзает коробочные CMS? Разве что <br>&gt; - студенты шлёпают сайты за еду на этом.<br><br>Иногда большего и не нужно. А еще иногда надо вот это вот "нашлепанное" 5-10 лет тому назад как-то обновлять чтобы скрипткиддисы по руоководствам с Ютупа не могли дефейсить.<br>Если за время существования поделки туда активно постили всякий контент (случаи бывают что там многие тысячи постов, с картинками и прочим) проще потихоньку обновлять движек чем переносить все это куда-то еще.<br> Критическая уязвимость в системе управления web-контентом Dr... (пох) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#39 Sat, 23 Feb 2019 14:03:49 GMT &gt; И что? Сделай либо API в ядре CMS <br><br>ну сделай, что-ли... только, полагаю, описание всех возможных в твоей cms апи закончат читать к моменту, когда конкуретны на вротпрессе и дрюпалке уже пятую версию сайта выкатят.<br><br>&gt; С untrusted input (как впрочем и со всем остальным) проблема решается очень просто: пишется <br>&gt; отдельный код, который из untrusted input'а, делает trusted. <br><br>похоже, ты никогда не пытался его написать.<br>Нет, не бывает такого кода. Единственный способ работы с untrusted input - помечать его таки как untrusted, и тащить в таком виде через весь код до места применения.<br>Разбери простейший пример - untrusted input - текст (предположим, только) из веб-формы.<br> Критическая уязвимость в системе управления web-контентом Dr... (Ordu) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#38 Sat, 23 Feb 2019 13:36:58 GMT &gt;&gt; Вон с дырой в плагине к wordpress, я так и не понял, зачем было ждать от плагина, чтобы тот <br>&gt;&gt; проверял привилегии, почему нельзя было сделать это в update_options?<br>&gt; потому что, внезапно, нет ничего необычайного в плагине, который управляет привиллегиями. <br><br>И что? Сделай либо API в ядре CMS для установки объекта управляющего привилегиями, либо устанавливай такие плагины посредством наложения патчей на ядро CMS. Неудобно, но в том-то и фишка, что неудобно, нам нужно чтобы каждый идиот не лез своими кривыми ручонками в самые критичные куски кода.<br><br>&gt; больше прокладок богу прокладок.<br><br>Я люблю принципиальных людей. Они так забавно продавливают свои принципы наперекор любому здравому смыслу, что невольно начинаешь гадать о том, какими интересными лабиринтами движется их процесс мышления.<br><br>&gt; А для писания на php, как встарь, достаточно знания sql, а не <br>&gt; еще стапиццот прокладок (впрочем, новые-модные фреймворки это успешно нивелируют).<br>&gt; А если <br>&gt; вы не умеете в работу с untrusted input и делаете ка Критическая уязвимость в системе управления web-контентом Dr... (th3m3) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#37 Sat, 23 Feb 2019 13:32:22 GMT Неужели кто-то ещё остался на php и юзает коробочные CMS? Разве что - студенты шлёпают сайты за еду на этом.<br> Критическая уязвимость в системе управления web-контентом Dr... (хыпстер) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#36 Sat, 23 Feb 2019 10:34:06 GMT пилите, кто вам-то не дает? А-а-а, вы хотите чтоб пилил кто-то, а вам нахаляву пользоваться и еще и за деньги результат продавать? Тогда жрите что поднесли на лопате. Потому что те кто занимаются разработкой друпалок - получать деньги тоже любят, и делают ровно то, что, тем или иным способом, им эти деньги приносит.<br><br> Критическая уязвимость в системе управления web-контентом Dr... (пох) https://www.opennet.ru/openforum/vsluhforumID3/116645.html#35 Sat, 23 Feb 2019 10:31:57 GMT &gt; Вон с дырой в плагине к wordpress, я так и не понял, зачем было ждать от плагина, чтобы тот<br>&gt; проверял привилегии, почему нельзя было сделать это в update_options? <br><br>потому что, внезапно, нет ничего необычайного в плагине, который управляет привиллегиями.<br><br>на этом, собственно, надо микрофон апологету выключить, и больше его выступлений не слушать, поскольку он не понимает совершенно тривиальных вещей, но вещает нам о мировых тенденциях.<br><br>&gt; С тех пор уже были примеры cl-sql и ActiveRecord в rails. Как минимум два -- это те, в которые я<br>&gt; заглядывал, сколько же есть реализаций, в которые я не заглядывал, я даже предположить боюсь. <br><br>больше прокладок богу прокладок.<br>И, конечно же, их какие-то уникальные люди пишут, не те же самые.<br><br>А для писания на php, как встарь, достаточно знания sql, а не еще стапиццот прокладок (впрочем, новые-модные фреймворки это успешно нивелируют). А если вы не умеете в работу с untrusted input и делаете какие-то предположения о том, что он может содержать - то вам никакие