Сервисы и скрипты для вебмастеров
· Главная · Аватары · О сайте · Скрипты · Маскировка реф.ссылок · Рассылка · Карта сайта · Контакты · Ссылки
Навигация
Все публикации
  • Заработок на сайте
  • Статьи
  • Новости
  • Учебные статьи
  • Хостинг
  • Сервисы
  • Экспорт контента
    • Статистика

    Статьи » Статьи » Системы управления контентом
    Введите слово для поиска :
    Системы управления контентом Mambo и Drupal - дешево и сердито, но не безопасно
    Уязвимости Drupal и Mambo
    Сразу 2 команды разработчиков популярных бесплатных CMS - Mambo и Drupal - сообщили об обнаруженных в их продуктах критических уязвимостях.

     


         Разработчики open source CMS Drupal сообщили о двух уязвимостях, которые могут быть использованы для атак ПК пользователей и серверов. Проблемы классифицируются как критические.
    Файлы могут быть загружены, когда создан новый запрос, но модуль не может проверить загруженный файл на соответствие разрешенному типу файлов, что позволяет внедрить JavaScript и выполнить его в браузере пользователя. Кроме того, можно загрузить внешний PHP-скрипт, и тем самым скомпрометировать сервер. Для осуществления успешной атаки ядро модуля Upload должно быть активировано, но оно активируется по умолчанию в версиях 5.x-2.x. Кроме того, есть возможность проведения межсайтового скриптинга. Однако, для его проведения необходимы специальные привилегии редактора, сообщает heise-security.co.uk.
    Ошибки присутствуют в версиях 5.x-2.x-dev до 30.1.2008 г., 5.x-1,2, 4.7.x-2,6, 4.7.x-1,6 и предыдущих версиях. Разработчики рекомендуют обновить систему до версий 5.x-2,0, 5.x-1,3, 4.7.x-2,7 или 4.7.x-1,7. Обновление требует изменения конфигурации.


     


    Одновременно с командой Drupal'a SecurityFocus сообщила об уязвимостях в open source CMS Mambo, которые могут быть использованы для просмотра конфиденциальной информации или компрометации системы. Обнаружено четыре недостатка. Патча пока нет.
    В одном из сценариев нарушена фильтрация содержимого параметра «file[NewFile][tmp_name]», так что специально подготовленные аргументы могут быть использованы для удаления с сервера файлов, таких, как configuration.php. Если администратор не удалил или переименовал в Mambo директорию инсталляции, можно даже получить доступ к базе данных, загрузив для манипуляции специальный файл конфигурации. Злоумышленники могут затем загрузить произвольный контент при помощи CMS. Кроме того, можно осуществить межсайтовый скриптинг (XSS) и межсайтовую подделку запросов (CSRF) в скрипте connector.php, который может быть использован злоумышленником для выполнения сценария в браузере пользователя с привилегиями сервера Mambo.
    Ошибки были найдены в версии 4.6.3 - предыдущие версии, вероятно, также уязвимы. Официальное обновление еще не вышло.


     
    TEXT +   TEXT -   Печать Опубликовано : 18 Февраль 2008 | Просмотров : 2051

    Добавить комментарий - Доступно только пользователям
    Имя :
    Пароль :

    Данная страница доступна только зарегистрированным пользователям !
    С уважением администрация сайта Скрипты PHP.
    Радио Онлайн
    · Главная · Новости интернета · Сервис хранения фото · Статьи · Скрипты · Лицензионный софт · Полезная информация · Графика
    © 2007 - 2012 PHP-RU.INFO [ Открытие страницы : 0.50 | Запросов к БД : 11 | Генерация страницы : 0.02 ]