Quantcast
Channel: sys.portal
Viewing all articles
Browse latest Browse all 594

Kritična ranjivost Drupala

$
0
0

Drupal, treći najpopulariniji CMS, nakon WordPressa i Joomle, ranjiv je na SQL injection napad. Ranjivost je objavljena zajedno sa zakrpom 15.10.2014. No već nekoliko sati nakon toga krenuli su automatski napadi. Dakle, ako niste dogradili svoj Drupal na zakrpanu verziju 7.32, razumno je pretpostaviti da je vaš site vjerojatno provaljen.

Ranjivost je proglašena visoko kritičnom, a ironično je što je otkrivena upravo u kodu čija je zadaća da spriječi takvu vrstu napada. Napadač se može ulogirati bez autentikacije, ne ostavivši trag u logovima. Nakon toga moguće su krađe osobnih podataka, ili instalacija backdoora. Moguće je da su napadači, nakon postavljanja backdoora, instalirali zakrpu, kako bi spriječili neke druge napadače da se dočepaju sustava. Dakle, ako vam je instalirana nova verzija Drupala, a vi to niste učinili... Ne gine vam forenzička istraga. A mogli bi i razmisliti kako je vrijeme da instalirate i naučite koristiti neki Change management software.

Kako su ranjive sve verzije prije 7.32, kao rješenje predlaže se dogradnja na tu verziju ili instalacija zakrpe dostupne na linku https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

Razvojni tim Drupala objavio je ranjivost 15.10. na svom službenom siteu, a nakon toga, 29.10. izdano je i javno priopćenje s upozorenjem na automatske napade. Korisnike se opominje da sama instalacija nove verzije neće ukloniti backdoor, ukoliko je već instaliran.

Da bi se web site što prije vratio u funkciju na siguran način, slijedite ove upute:

- Ugasite web i zamijenite ga statičnom web stranicom (radovi u tijeku).
- Upozorite administratora servera: ako se tu hostaju druge stranice i one mogu biti kompromitirane i možda imaju backdoor.
- Ako možete, nabavite novi (virtualni) server i na njemu obavite svježu instalaciju sigurne, zakrpane verzije Drupala.
- U protivnom, maknite sa servera web site i pripadajuću bazu. Kopiju sačuvajte za kasniju istragu.
- Ako redovito radite backup, vratite verziju prije 15.10. a zatim instalirajte zadnju verziju Drupala ili zakrpu. Ručno unesite sve eventualne promijenjene postavke i stranice nakon tog datuma.
- Ponovo podignite svoj web.
- Usporedite ovakav "čist" site sa spremljenom kompromitiranom verzijom, kako bi otkrili razlike, odnosno pronašli što je napadač promijenio.


Viewing all articles
Browse latest Browse all 594

Trending Articles


Girasoles para colorear


mayabang Quotes, Torpe Quotes, tanga Quotes


Tagalog Quotes About Crush – Tagalog Love Quotes


OFW quotes : Pinoy Tagalog Quotes


Long Distance Relationship Tagalog Love Quotes


Tagalog Quotes To Move on and More Love Love Love Quotes


5 Tagalog Relationship Rules


Best Crush Tagalog Quotes And Sayings 2017


Re:Mutton Pies (lleechef)


FORECLOSURE OF REAL ESTATE MORTGAGE


Sapos para colorear


tagalog love Quotes – Tiwala Quotes


Break up Quotes Tagalog Love Quote – Broken Hearted Quotes Tagalog


Patama Quotes : Tagalog Inspirational Quotes


Pamatay na Banat and Mga Patama Love Quotes


Tagalog Long Distance Relationship Love Quotes


BARKADA TAGALOG QUOTES


“BAHAY KUBO HUGOT”


Vimeo 10.7.0 by Vimeo.com, Inc.


Vimeo 10.7.1 by Vimeo.com, Inc.