В API Drupal устранили обход прав доступа и возможность перезаписи данных

В API Drupal устранили обход прав доступа и возможность перезаписи данных

В API Drupal устранили обход прав доступа и возможность перезаписи данных

Разработчики CMS-системы Drupal выпустили обновления в ветках 9.2 и 9.3, чтобы устранить две уязвимости. Одна из них позволяет обойти контроль доступа к редакциям сущностей, другая — изменить критичные либо конфиденциальные данные. Степень опасности угрозы в обоих случаях оценена как умеренная.

Проблема обхода ограничений на доступ, согласно бюллетеню, возникла из-за неполной интеграции Entity API с существующими разрешениями. В результате пользователи с типовым доступом на редактирование контент-сущностей получили возможность выборочно модифицировать данные в базах нодов и медиаконтента.

Данная уязвимость присутствует только в Drupal 9.3.х и актуальна для сайтов, на которых управление состояниями осуществляется через редакции Drupal. Пользователям рекомендуется установить обновление 9.3.12.

Причиной появления возможности внести нежелательные изменения через Form API является неадекватная проверка ввода. Уязвимость проявляется при обработке некоторых сторонних или кастомных форм в модуле ядра (стандартные формы Drupal она не затрагивает).

Эксплойт позволяет внести недопустимые значения в поля формы или перезаписать данные, которые могут оказаться критически важными. Патчи включены в состав сборок 9.3.12 и 9.2.18, бэкпорта для продуктов с истекшим сроком поддержки не предвидится. В Drupal 7 эта дыра отсутствует.

Импортозамещение на шильдиках: китайские ноутбуки выдали за российские

Мособлсуд оставил в силе решение о взыскании почти 370 млн рублей с фигурантов дела о поставках Минобороны китайской техники под видом российской. История тянется с 2016 года. Тогда ведомство заключило контракт на 367,1 млн рублей с ООО «Антей».

По документам компания должна была поставить отечественную технику для работы со служебной информацией.

В итоге в 33 военные организации, включая академии, училища и учебные центры, отправили более 102 тыс. USB-накопителей и 3142 ноутбука.

Вот только российскими они оказались в основном на бумаге, как выяснил «КомерсантЪ».

По версии следствия, технику закупали в Китае через посредников, а уже в России доводили до нужного патриотического вида: устанавливали специальную операционную систему, прикладывали фиктивную документацию, наносили лазерную гравировку «МО» и клеили шильдики «ДЕПО Электроникс».

ФСБ установила, что поставленная продукция не соответствовала условиям контракта и была произведена в Китае. Иными словами, импортной технике устроили быстрый ребрендинг и отправили в войска как отечественную.

Организатором схемы следствие считает владельца DEPO Computers Сергея Эскина. По данным правоохранителей, собственных мощностей для исполнения контракта у него не было, а целью сделки было хищение бюджетных средств.

Сам Эскин находится за границей, объявлен в международный розыск и заочно арестован. До суда дошли десять других фигурантов, включая руководителей и сотрудников связанных компаний. Они получили от пяти до семи лет колонии, позднее троим наказание снизили до трех лет.

Теперь к уголовным срокам добавился и счет: Минобороны добилось взыскания всей суммы ущерба. Получился дорогой урок импортозамещения — китайская техника, российская гравировка и почти 370 млн рублей на выходе.

RSS: Новости на портале Anti-Malware.ru