Команда реагирования на компьютерные чрезвычайные происшествия Украины CERT-UA напоминает о необходимости принятия мер для устранения критической уязвимости CMS Drupal.
Соответствующее сообщение было опубликовано сегодня на официальной странице в Facebook Государственной службы специальной связи и защиты информации, передает InternetUA.
– Команда CERT-UA Госспецсвязи напоминает владельцам сайтов, построенных на CMS Drupal, о необходимости принятия мер для устранения уязвимости «Drupalgeddon2», которую сейчас активно используют для взлома web-ресурсов, – говорится в сообщении.
Указанная уязвимость в ядре CMS Drupal позволяет злоумышленникам выполнить произвольный код и полностью скомпрометировать файлы сайта. Все файлы могут быть удалены или изменены независимо от прав доступа. На официальном сайте Drupal указано, что рабочий эксплойт (программа для эксплуатации уязвимости) разработан и широко используется, поэтому нужно считать все сайты, которые не были обновлены до 11.04.2018 — потенциально скомпрометированными.
28 марта на официальном сайте Drupal были опубликованы обновления, устраняющие критическую уязвимость CVE-2018-7600 в CMS Drupal версий 7.х, 8.5.х, 8.4.х, 8.3.х.
Также 23 апреля на официальном сайте Drupal появились новости о выпуске дополнительных обновлений, которые устраняют уязвимости в ядре CMS версий 7.x, 8.4.x, 8.5.x. Новые уязвимости будут иметь номер CVE-2018-7602.
Информация об обновлениях – здесь.
Для устранения уязвимости в CERT-UA рекомендуют обновить Drupal до актуальных версий:
Drupal 7.x — 7.59
Drupal 8.5.x – 8.5.3
Drupal 8.4.x – 8.4.8. Версия 8.4.х больше не поддерживается, рекомендуется обновиться до версии 8.5.
или установить эти обновления
Патч для 8.5.х и ниже.
Патч для 7.х.
За информацией об уязвимостях и обновлениях Drupal можно следить здесь.