|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от opennews (??) on 16-Окт-14, 00:20 | ||
В выпуске (https://www.drupal.org/drupal-7.32) системе управления web-контентом Drupal 7.32 устранена критическая уязвимость (https://www.drupal.org/SA-CORE-2014-005) (CVE-2014-3704), позволяющая осуществить подстановку SQL-кода. Уязвимости присвоен наивысший уровень опасности (Highly critical (https://drupal.org/security-team/risk-levels)), сигнализирующий на возможность осуществления удалённой атаки, способной привести к получению доступа к системе. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Критическая уязвимость в системе управления web-контентом Dr..." | +5 +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 00:20 | ||
> Drupal | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
12. "Критическая уязвимость в системе управления web-контентом Dr..." | +1 +/– | |
Сообщение от Джон on 16-Окт-14, 04:54 | ||
Есть сервер с голой джумлой. Взламываешь? 100 баксов твои. Надо больше говори, не вопрос. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
13. "Критическая уязвимость в системе управления web-контентом Dr..." | +1 +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 05:56 | ||
> Надо больше говори, не вопрос. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
23. "Критическая уязвимость в системе управления web-контентом Dr..." | +3 +/– | |
Сообщение от XakRu (ok) on 16-Окт-14, 10:46 | ||
Если вас еще не взломали - это не значит, что ваша система неуязвима. Возможно вы просто нам не интересны! | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
25. "Критическая уязвимость в системе управления web-контентом Dr..." | +12 +/– | |
Сообщение от Michael Shigorin (ok) on 16-Окт-14, 12:20 | ||
> Есть сервер с голой джумлой. Взламываешь? 100 баксов твои. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
26. "Критическая уязвимость в системе управления web-контентом Dr..." | +1 +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 13:06 | ||
Прям за меня сказал. | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
29. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Vov on 16-Окт-14, 14:50 | ||
А имеется ли разница между 100 потенциальными уязвимостями Жумлы или одной (найденной) в CMSВАШЕЙМЕЧТЫ если результат практически один (потеря данных или что-то подобное) | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
32. "Критическая уязвимость в системе управления web-контентом Dr..." | +2 +/– | |
Сообщение от Сергей (??) on 16-Окт-14, 15:03 | ||
Разница в том, что 50 из тех 100 могут быть известны только тем, кто ими пользуется. | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
34. "Критическая уязвимость в системе управления web-контентом Dr..." | +1 +/– | |
Сообщение от YetAnotherOnanym (ok) on 16-Окт-14, 15:25 | ||
Если она одна и закрыта, потенциальные злоумышленники переключатся на ПО, в котором их находят пачками. | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
44. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Michael Shigorin (ok) on 17-Окт-14, 14:23 | ||
> А имеется ли разница между 100 потенциальными уязвимостями Жумлы или одной (найденной) | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
43. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от yutoks on 17-Окт-14, 11:05 | ||
тут от мозга админа больше зависит, чем от скриптов. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
2. "Критическая уязвимость в системе управления web-контентом Dr..." | +2 +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok) on 16-Окт-14, 00:23 | ||
> Уязвимость вызвана ошибкой в реалиpации интерфейса абстрактного доступа к БД | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
8. "Критическая уязвимость в системе управления web-контентом Dr..." | –1 +/– | |
Сообщение от Нимо Ан on 16-Окт-14, 00:48 | ||
Давно пора запретить передачу SQL от клиента (middleware) к серверу (СУБД) и реализовать унифицированный интерфейс к хранимым процедурам, а внутри уже пусть городят как хотят. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
10. "Критическая уязвимость в системе управления web-контентом Dr..." | +3 +/– | |
Сообщение от vitalif (ok) on 16-Окт-14, 01:56 | ||
чур тебя | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
14. "Критическая уязвимость в системе управления web-контентом Dr..." | +3 +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 05:57 | ||
> Давно пора запретить SQL | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
16. "Критическая уязвимость в системе управления web-контентом Dr..." | +2 +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 09:35 | ||
Мдя, как всё тяжко то у людей... | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
20. "Критическая уязвимость в системе управления web-контентом Dr..." | +1 +/– | |
Сообщение от Обычный аноним on 16-Окт-14, 09:53 | ||
> Мдя, как всё тяжко то у людей... | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
22. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 10:02 | ||
>> Мдя, как всё тяжко то у людей... | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
28. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Обычный аноним on 16-Окт-14, 14:03 | ||
| ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
4. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от manster (ok) on 16-Окт-14, 00:27 | ||
...сколько еще таких сюрпризов на просторах любителей экономить на prepare-параметрах... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
5. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от uldus (ok) on 16-Окт-14, 00:35 | ||
> .сколько еще таких сюрпризов на просторах любителей экономить на prepare-параметрах... | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
9. "Критическая уязвимость в системе управления web-контентом Dr..." | +1 +/– | |
Сообщение от manster (ok) on 16-Окт-14, 01:16 | ||
>[оверквотинг удален] | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
11. "Критическая уязвимость в системе управления web-контентом Dr..." | +3 +/– | |
Сообщение от vitalif (ok) on 16-Окт-14, 01:58 | ||
Да у них просто видимо этот prepare эмулируется их же кодом. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
18. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 09:50 | ||
> Да у них просто видимо этот prepare эмулируется их же кодом. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
17. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 09:39 | ||
>[оверквотинг удален] | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
24. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 11:03 | ||
prepared statements так не работает, это что-то похожее по api на него. Как уже некоторые заметили, некоторые ущербные биндинги эмулируют софтварно, например почти все к mysql | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
36. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от angra (ok) on 16-Окт-14, 17:20 | ||
Можно еще сказать, что данная ошибка есть следствие дизайна PHP, в котором нет различия между обычными и ассоциативными массивами aka хешами. | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
38. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от manster (ok) on 16-Окт-14, 18:16 | ||
Да есть такое. Типизированные массивы и списки тогда уж. Само по себе числовые индексы или символьные не большое зло - частный случай индексов. Но это плата за универсальность. Решили сэкономить на списках и кортэжах. Но ошибка не совсем с этим связана, "палёный код", впрочем от друпала не удивительно может быть. | ||
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору |
40. "Критическая уязвимость в системе управления web-контентом Dr..." | +1 +/– | |
Сообщение от all_glory_to_the_hypnotoad (ok) on 16-Окт-14, 20:13 | ||
> Cамо по себе числовые индексы или символьные не большое зло - частный случай индексов. | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
6. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от demimurych (ok) on 16-Окт-14, 00:38 | ||
Вы бы в патч посмотрели | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
19. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 09:51 | ||
> Вы бы в патч посмотрели | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
7. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 00:42 | ||
Интересно whitehouse.gov и london.gov.uk уже пропатчили? Они когда-то громко кричали о переходе на Drupal Ж-) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
15. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от йцу on 16-Окт-14, 08:52 | ||
Загуглите "prepared statement in" - удивитесь количеству одинаковых вопросов на stackoverflow (речь не только о PHP). Есть вообще БД API, которое поддерживает из коробки биндинг коллекций к одному плейсхолдеру? А ведь достаточно часто возникающий кейс. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
21. "Критическая уязвимость в системе управления web-контентом Dr..." | –3 +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 09:56 | ||
> Загуглите "prepared statement in" - удивитесь количеству одинаковых вопросов на stackoverflow | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
27. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от йцу on 16-Окт-14, 13:45 | ||
Ну алгоритм-то зачастую один и тот же - взять список чисел/строк и впихнуть в IN выражение. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
31. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 15:01 | ||
> Ну алгоритм-то зачастую один и тот же - взять список чисел/строк и | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
33. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от Аноним (??) on 16-Окт-14, 15:05 | ||
>по уму в том же drupal должно бы быть | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
30. "Критическая уязвимость в системе управления web-контентом Dr..." | –1 +/– | |
Сообщение от Zontus on 16-Окт-14, 14:51 | ||
PERL DBI | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
37. "Критическая уязвимость в системе управления web-контентом Dr..." | +1 +/– | |
Сообщение от Прохожий (??) on 16-Окт-14, 17:40 | ||
Perl-Pg и нормальная логика SQL с хранимыми процедурами, триггерами и т.д. Неубиваемая штука. Только все больше обрастает функционалом и обрастает. | ||
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору |
45. "Критическая уязвимость в системе управления web-контентом Dr..." | +/– | |
Сообщение от chuk (ok) on 17-Окт-14, 20:00 | ||
Вот дурачье! На кой вообще было изобретать 7-ю версию, которое ничего общего не имеет с 6-й? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |