В Drupal устранили критические баги, для которых уже есть эксплойты

В Drupal устранили критические баги, для которых уже есть эксплойты

В CMS-системе Drupal пропатчены две опасные уязвимости, связанные с использованием сторонней библиотеки PEAR Archive_Tar. Ее разработчики уже выпустили обновление, теперь соответствующие изменения внесены в ядро Drupal.

Названная библиотека предназначена для обработки архивных tar-файлов в PHP. Обе новых уязвимости (CVE-2020-28948 и CVE-2020-28949) позволяют обойти защиту Archive_Tar  от атак, использующих возможность десериализации метаданных из файлов Phar (PHP Archive).

Эксплуатация в данном случае осуществляется через манипуляции с именами файлов и грозит исполнением вредоносного PHP-кода или перезаписью важных файлов — таких как /passwd и /shadow.

Команда Drupal признала оба бага критичными, оценив их в 18 баллов из 25 возможных по шкале, рекомендованной NIST (американским Институтом стандартов и технологий). При этом было отмечено, что использование новых брешей в CMS-системе возможно лишь при настройках, разрешающих загрузку файлов .tar, .tar.gz, .bz2 или .tlz.

Наличие уязвимостей подтверждено для Drupal версий 7 и 9, а также веток 8.8 и 8.9. Поскольку PoC-эксплойт уже опубликован, патчи для CMS были выпущены в экстренном порядке. Пользователям Drupal рекомендуется как можно скорее произвести обновление до сборки 7.75, 9.0.9, 8.8.12 или 8.9.10. Если такой возможности нет, стоит пока запретить загрузку файлов указанных форматов из недоверенных источников.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Kaspersky на полгода открыла в США бесплатный доступ к продуктам

В качестве прощального подарка пользователям из США «Лаборатория Касперского» решила предоставить бесплатный доступ к своим продуктам в течение шести месяцев. Помимо этого, корпорация дала советы, которые помогут бывшим клиентам защититься от киберугроз.

Вчера стало известно, что Kaspersky не видит путей развития в США, учитывая те условия, которые компании поставили администрация Байдена и Управление по контролю за иностранными активами Министерства финансов США.

В результате руководство «Лаборатории Касперского» приняло решение уйти с западного рынка не позднее 20 июля 2024 года. Ожидается, что при этом будут уволены около 50 сотрудников.

Напоследок российский техногигант захотел отблагодарить пользователей из США за долгие годы доверия. Продукты Kaspersky будут доступны в течение последующих шести месяцев абсолютно бесплатно.

«Поскольку мы уходим с рынка США, нам бы хотелось отблагодарить вас, насколько это возможно. Поэтому ряд защитных продуктов Kaspersky будет доступен бесплатно в течение полугода», — гласит официальное заявление.

Кроме того, «Лаборатория Касперского» дала несколько рекомендаций, которые помогут пользователям защититься от современных киберугроз:

  • не забывайте создавать резервные копии важных данных;
  • внимательно относитесь к получаемым ссылкам и всегда учитывайте их источник;
  • регулярно меняйте пароли, делая упор на длину и сложность.

Напомним, администрация Байдена наказала до 29 сентября 2024 года заменить в США продукты «Лаборатории Касперского». Помимо этого, запрещены продажа и обновления антивируса.

Более того, Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции против 12 руководящих сотрудников Kaspersky.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru