В API Drupal устранили обход прав доступа и возможность перезаписи данных

В API Drupal устранили обход прав доступа и возможность перезаписи данных

В API Drupal устранили обход прав доступа и возможность перезаписи данных

Разработчики CMS-системы Drupal выпустили обновления в ветках 9.2 и 9.3, чтобы устранить две уязвимости. Одна из них позволяет обойти контроль доступа к редакциям сущностей, другая — изменить критичные либо конфиденциальные данные. Степень опасности угрозы в обоих случаях оценена как умеренная.

Проблема обхода ограничений на доступ, согласно бюллетеню, возникла из-за неполной интеграции Entity API с существующими разрешениями. В результате пользователи с типовым доступом на редактирование контент-сущностей получили возможность выборочно модифицировать данные в базах нодов и медиаконтента.

Данная уязвимость присутствует только в Drupal 9.3.х и актуальна для сайтов, на которых управление состояниями осуществляется через редакции Drupal. Пользователям рекомендуется установить обновление 9.3.12.

Причиной появления возможности внести нежелательные изменения через Form API является неадекватная проверка ввода. Уязвимость проявляется при обработке некоторых сторонних или кастомных форм в модуле ядра (стандартные формы Drupal она не затрагивает).

Эксплойт позволяет внести недопустимые значения в поля формы или перезаписать данные, которые могут оказаться критически важными. Патчи включены в состав сборок 9.3.12 и 9.2.18, бэкпорта для продуктов с истекшим сроком поддержки не предвидится. В Drupal 7 эта дыра отсутствует.

Хостинг привяжут к Госуслугам: анонимности в Рунете станет еще меньше

Минцифры снова взялось за хостинг-провайдеров. Ведомство обсуждает обязательную идентификацию клиентов через «Госуслуги», причем речь идет не об отдельных сервисах, а фактически обо всех услугах хостинга. Логика регулятора простая: за каждым выделенным IP-адресом должен стоять конкретный человек с подтверждённой учётной записью.

Сейчас провайдеры могут идентифицировать клиента по электронной почте, банковской карте и другими способами. Но, похоже, этого уже недостаточно.

Похожее правило с сентября распространяется на владельцев доменов в зонах .ru, .рф и .su: для регистрации и продления требуется подтверждение через ЕСИА. Теперь тот же подход хотят перенести и на хостинг.

В отрасли, по данным «КоммерсантЪ», мнения разделились. В «Турбо Облаке» считают, что обязательная идентификация поможет бороться с фишингом и мошенниками. Компания уже подключила аутентификацию через ЕСИА и уверяет, что расходы вполне посильные.

У других оценки куда менее бодрые. В «Рунити» предварительные затраты на внедрение оценивают минимум в 5 млн руб. В RUVDS предупреждают, что новые правила могут серьезно ударить по розничному рынку. Под угрозой прежде всего студенты, независимые разработчики и обычные частные клиенты, которым лишний заход через «Госуслуги» может показаться слишком большим квестом.

По оценке RUVDS, провайдеры рискуют потерять от 20% до 35% таких пользователей. И уйдут они, скорее всего, не в офлайн, а к зарубежным хостерам.

Отдельная проблема — иностранцы. Без альтернативной схемы идентификации они могут лишиться доступа к услугам, серверам и доменам. В итоге борьба за прозрачность рискует закончиться не только снижением анонимности, но и заметным оттоком клиентов за пределы российского рынка.

RSS: Новости на портале Anti-Malware.ru