В движке шаблонов Drupal устранили уязвимость, грозящую утечкой данных

В движке шаблонов Drupal устранили уязвимость, грозящую утечкой данных

В движке шаблонов Drupal устранили уязвимость, грозящую утечкой данных

Команда Drupal выпустила обновления для ядра CMS в связи с тем, что в дефолтном шаблонизаторе сторонней разработки только что закрыли опасную уязвимость. Система управления контентом использует библиотеку Twig для обработки и санации шаблонов с 2015 года (с момента выхода версии 8), поэтому Drupal 7 проблема не затронула.

Согласно бюллетеню разработчика, уязвимость CVE-2022-39261 (выход за пределы каталога) проявляется при загрузке шаблонов с использованием загрузчика файловой системы, но только в тех случаях, когда имя вводится пользователем. В такой ситуации подача команды source или include обеспечит автору атаки доступ на чтение к файлам в закрытых для него папках — при условии использования пространства имен вроде @somewhere/../some.fil.

Причиной появления уязвимости является неадекватная проверка подобного пользовательского ввода. Патч включен в состав сборок Twig 1.44.7, 2.15.3 и 3.4.3.

Участники проекта Drupal оценили степень опасности CVE-2022-39261 в 18 баллов из 25 возможных по используемой ими шкале (соответствует 7,5 балла по CVSS). Из неприятных последствий эксплойта упомянут несанкционированный доступ к конфиденциальным файлам, содержимому других файлам на сервере и ключам к базе данных.

Авторы публикации не преминули отметить, что в случае с CMS угрозу смягчает необходимость получить разрешение на ограниченный доступ. Однако это препятствие можно преодолеть с помощью стороннего или кастомного кода.

Для устранения проблемы пользователям рекомендуется перейти на новую сборку ядра — 9.3.22 или 9.4.7. Патчей в ветках, снятых с поддержки, не будет, поэтому лучше совершить апгрейд.

Минувшим летом в Drupal устранили еще одну уязвимость с оценкой «критическая» (по системе, принятой на проекте) — возможность удаленного выполнения PHP-кода. Установкам CMS версии 7 она тоже не страшна.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

PT NAD помог Ортиксу выявить уязвимости и нарушения в сети

Компания «Ортикс», управляющая сетью из 59 ортопедических салонов по всей стране, внедрила систему анализа трафика PT Network Attack Discovery (PT NAD) от Positive Technologies. Решение было выбрано после успешного пилотного тестирования, в ходе которого служба информационной безопасности выявила несколько инцидентов и уязвимостей в сети.

«Ортикс» ежегодно обслуживает более 100 тысяч клиентов, и защита персональных данных — одна из приоритетных задач. На фоне роста числа кибератак компания решила усилить контроль за трафиком и происходящим в сети.

«Нам было важно видеть, что именно происходит внутри — какой трафик идёт, какие угрозы могут появиться, и в каком виде. Нужно было всё это отслеживать в реальном времени», — говорит Артемий Балеевских, руководитель АСУП в «Ортиксе».

Внедрение системы проводил партнёр Positive Technologies — компания «Экстрим безопасность». Интегратор адаптировал систему под инфраструктуру «Ортикса» и настроил визуализацию угроз с разбивкой по уровням опасности.

После тестирования специалисты представили отчёт с перечнем выявленных проблем. Среди них:

  • использование запрещённого софта на рабочих станциях;
  • слабые (словарные) пароли у пользователей;
  • наличие уязвимости, которая могла привести к взлому критически важной системы;
  • флуд-атака на внутреннюю инфраструктуру;
  • активность майнера криптовалюты и ботнета, использовавшего ресурсы компании для спама.

После анализа результатов пилотного проекта «Ортикс» решил оставить PT NAD в качестве постоянного решения. В компании отметили, что помимо внешних угроз система также помогла выявить нарушения политик безопасности внутри сети. В будущем планируется дополнительно внедрить систему класса NGFW (межсетевой экран нового поколения) и связать её с PT NAD для повышения общей защищённости.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru