В даний час зловмисниками активно експлуатується нова вразливість в CMS Drupal під назвою «Drupalgeddon2» для взлому сайтів.
28.03.2018 на офіційному сайті Drupal було опубліковано оновлення, які усувають критичну вразливість CVE-2018-7600 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7600 ) в CMS Drupal версій 7.х, 8.5.х, 8.4.х, 8.3.х.
Зазначена вразливість в ядрі CMS Drupal дає змогу зловмисникам виконати довільний код та повністю скомпрометувати файли сайту, усі файли можуть бути видалені, або змінені незалежно від прав доступу.
На офіційному сайті Drupal вказано, що робочий експлойт (програма для експлуатації вразливості) розроблений та широко використовується, тому потрібно вважати всі сайти, які не були оновлені до 11.04.2018 – потенційно скомпрометованими. (https://groups.drupal.org/security/faq-2018-002 , https://www.drupal.org/sa-core-2018-002 ).
Також, 23.04.2018 на офіційному сайті Drupal було опубліковано новини, про випуск додаткових оновлень, які усувають вразливості в ядрі CMS версій 7.x, 8.4.x, and 8.5.x. Нові вразливості будуть мати номер CVE-2018-7602. (https://www.drupal.org/psa-2018-003)
Інформація про нові оновлення (https://www.drupal.org/sa-core-2018-004)
Рекомендації:
Для усунення вразливості рекомендується оновити Drupal до актуальних версій:
Drupal 7.x – 7.59 (https://www.drupal.org/project/drupal/releases/7.59 )
Drupal 8.5.x – 8.5.3 (https://www.drupal.org/project/drupal/releases/8.5.3 )
Drupal 8.4.x – 8.4.8 (https://www.drupal.org/project/drupal/releases/8.4.8 ) Версія 8.4.х більше не підтримується, рекомендується оновитися до версії 8.5.
або встановити ці оновлення
Патч для 8.5.х і нижче:
Патч для 7.х:
Корисні посилання:
Інформація про вразливість:
Інформація про вразливості та оновлення Drupal