Выпущены патчи для критической бреши Drupal, в опасности миллионы сайтов

Олег Иванов 29 Марта 2018 - 11:18

Домашние пользователи

...

Критическая уязвимость затрагивает все версии популярной системы управления контентом Drupal. Эта брешь может быть использована для получения полного контроля над уязвимыми сайтами. Эксперты полагают, что эта дыра в безопасности может стать такой же значимой, как Drupalgeddon.

Оказалось, что миллионы сайтов в опасности, так как уязвимость распространяется на версии 6, 7 и 8, о чем сообщает специалист Джаспер Маттссон (Jasper Mattsson). Проблема отслеживается под идентификатором CVE-2018-7600.

Для эксплуатации бреши нужен всего лишь доступ к странице уязвимого сайта. Удачная атака позволит злоумышленнику получить полный контроль над сайтом, включая доступ к непубличным данным и возможность удаления или изменения системных данных.

С выходом версий 7.58, 8.5.1, 8.3.9 и 8.4.6 уязвимость была устранена. Даже несмотря на то, то версия Drupal 6 давно не поддерживается, разработчики все равно выпустили патч и для нее, настолько серьезна уязвимость.

Помимо обновления своих инсталляций до последней версии, пользователи могут защитить свои сайты от атак, внеся некоторые изменения в конфигурацию сайта. Однако эти изменения, по заявлениям разработчиков, довольно «радикальны».

«Существует несколько решений, но все они основаны на идее не предоставлять посетителям доступ к уязвимым страницам. Временная замена вашего сайта Drupal статической HTML-страницей является эффективным решением», — объясняют разработчики Drupal.

Технические детали бреши не были опубликованы, однако эксперты полагают, что соответствующие эксплойты будут доступны в течение нескольких дней.

Напомним, ране мы писали, что компания Drupal объявила о своих планах выпустить обновления безопасности для версий движка Drupal 7.x, 8.3.x, 8.4.x и 8.5.x.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 08:47

iOS Уязвимости программ Ошибки конфигурации программ Домашние пользователи

Уязвимость в iPhone позволяет украсть до $10 000 через NFC

На YouTube-канале Veritasium вышло видео о редкой, но любопытной уязвимости в iPhone. Речь идёт о сценарии, при котором злоумышленник теоретически может провести NFC-платёж даже с заблокированного смартфона и списать до $10 000. Рядовым пользователям вряд ли стоит переживать, так как на практике для атаки нужен слишком уж специфический набор условий.

Саму проблему ещё в 2021 году обнаружили специалисты Иоана Буряну и Том Чотия.

Они показали, что iPhone можно обмануть и заставить принять фальшивый POS за настоящий терминал общественного транспорта. Это связано с функцией Express Transit, которая позволяет оплачивать проезд без разблокировки устройства.

Как объясняется в видео Veritasium, исследователи нашли способ обойти ещё несколько защитных механизмов Apple, чтобы в итоге инициировать перевод средств. В демонстрации речь идёт о сумме до $10 000.

Впрочем, у атаки есть серьёзные ограничения. Во-первых, она работает только в том случае, если в качестве карты для Express Transit на iPhone выбрана Visa. На Mastercard и другие платёжные системы этот сценарий не распространяется. Во-вторых, сама эксплуатация требует очень специфических условий и, по сути, лабораторной точности.

Apple сообщила Veritasium, что проблема связана с особенностями со стороны Visa. В Visa, в свою очередь, заявили, что держатели карт защищены политикой нулевой ответственности, так что в случае успешной атаки возможный ущерб должен быть компенсирован.

При этом компания подчеркнула, что подобный сценарий «крайне маловероятен» в реальной жизни, даже если в контролируемой среде он реально сработал.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!