Выпущены патчи для критической бреши Drupal, в опасности миллионы сайтов

Выпущены патчи для критической бреши Drupal, в опасности миллионы сайтов

Выпущены патчи для критической бреши Drupal, в опасности миллионы сайтов

Критическая уязвимость затрагивает все версии популярной системы управления контентом Drupal. Эта брешь может быть использована для получения полного контроля над уязвимыми сайтами. Эксперты полагают, что эта дыра в безопасности может стать такой же значимой, как Drupalgeddon.

Оказалось, что миллионы сайтов в опасности, так как уязвимость распространяется на версии 6, 7 и 8, о чем сообщает специалист Джаспер Маттссон (Jasper Mattsson). Проблема отслеживается под идентификатором CVE-2018-7600.

Для эксплуатации бреши нужен всего лишь доступ к странице уязвимого сайта. Удачная атака позволит злоумышленнику получить полный контроль над сайтом, включая доступ к непубличным данным и возможность удаления или изменения системных данных.

С выходом версий 7.58, 8.5.1, 8.3.9 и 8.4.6 уязвимость была устранена. Даже несмотря на то, то версия Drupal 6 давно не поддерживается, разработчики все равно выпустили патч и для нее, настолько серьезна уязвимость.

Помимо обновления своих инсталляций до последней версии, пользователи могут защитить свои сайты от атак, внеся некоторые изменения в конфигурацию сайта. Однако эти изменения, по заявлениям разработчиков, довольно «радикальны».

«Существует несколько решений, но все они основаны на идее не предоставлять посетителям доступ к уязвимым страницам. Временная замена вашего сайта Drupal статической HTML-страницей является эффективным решением», — объясняют разработчики Drupal.

Технические детали бреши не были опубликованы, однако эксперты полагают, что соответствующие эксплойты будут доступны в течение нескольких дней.

Напомним, ране мы писали, что компания Drupal объявила о своих планах выпустить обновления безопасности для версий движка Drupal 7.x, 8.3.x, 8.4.x и 8.5.x.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В WhatsApp добавили шифрование резервных копий с помощью passkey

WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) начал внедрять новую защитную функцию — теперь резервные копии чатов в iOS и Android можно шифровать с помощью ключей доступа (passkey), то есть без паролей. Пользователи смогут защищать свои данные отпечатком пальца, распознаванием лица или кодом блокировки экрана.

Passkey — это современная альтернатива паролям, которая работает на основе криптографических ключей.

При настройке устройство создаёт уникальную пару ключей: закрытый хранится только на смартфоне, а открытый — передаётся приложению. Такой подход делает перехват данных практически невозможным: закрытый ключ никогда не покидает устройство и не может попасть в чужие руки даже при утечке.

«Теперь, чтобы зашифровать резервную копию, не нужно запоминать пароль или 64-значный ключ. Достаточно одного касания или взгляда — того же уровня защиты, что и для ваших чатов и звонков», — говорится в сообщении WhatsApp.

Чтобы включить функцию, нужно открыть Настройки → Чаты → Резервная копия → Сквозное шифрование резервной копии.

Meta (признана экстремистской и запрещена в России) начала поэтапный запуск обновления — функция появится у всех пользователей в течение ближайших недель.

WhatsApp впервые добавил сквозное шифрование резервных копий ещё в 2021 году: тогда пользователи могли хранить их в iCloud или Google Drive. Теперь же безопасность усилилась — восстановить данные можно будет с помощью passkey, не вводя длинные пароли.

Напомним, на прошлой неделе WhatsApp ввёл новый способ защиты от мошенников в групповых чатах. Теперь, если кто-то малознакомый пригласит вас в групповой чат, перед тем как вы вообще увидите какие-либо сообщения, на экране появится специальное предупреждение.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru