В сети опубликован эксплоит для проблемы Drupalgeddon2, и хакеры уже им пользуются - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
17-04-2018, 11:00
В сети опубликован эксплоит для проблемы Drupalgeddon2, и хакеры уже им пользуются - «Новости»
Рейтинг:
Категория: Новости

В марте 2018 года разработчики CMS Drupal анонсировали скорый выход патчей для некой «чрезвычайно критической» уязвимости, попросили администраторов подготовиться к выходу патчей заранее и установить обновления сразу же, как только те станут доступны. Дело в том, что эксплоит для опасной бреши, по мнению разработчиков, мог быть создан за считанные дни или даже часы, после публикации данных о проблеме.


Вскоре выяснилось, что опасения у авторов Drupal вызвал баг CVE-2018-7600, которому в сети тут же дали имя Drupalgeddon2 – в честь старой уязвимости Drupalgeddon (CVE-2014-3704, SQL-инъекция), обнаруженной в 2014 году и тогда ставшей причиной взлома множества сайтов под управлением Drupal.


Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу. Однако разработчики Drupal предпочли разгласить как можно меньше подробностей о проблеме.


В конце прошлой недели исследователи Check Point и Dofinity, наконец, обнародовали детальный анализ проблемы, после чего российский ИБ-специалист Виталий Рудных опубликовал на GitHub PoC-эксплоит для уязвимости («в ознакомительных и образовательных целях»).


Спустя считанные часы после публикации эксплоита аналитики Imperva, Sucuri и SANS Internet Storm Center сообщили о первых попытках эксплуатации уязвимости и атаках на сайты, работающие под управлением Drupal. Исследователи подтверждают, что попытки злоумышленников базируются именно на PoC с GitHub, но отмечают, что пока о волне атак речи не идет, наблюдаются единичные случаи.


В настоящее время серверы-ловушки исследователей фиксируют попытки использования простых и «безвредных» команд, таких как echo, phpinfo, whoami или touch. Тем не менее, эксперты ожидают, что в ближайшие дни количество атак значительно возрастет, а между различными группами злоумышленников возникнет своего рода «конкуренция». Ожидается, что взломщики будут «сражаться» за уязвимые сайты, стараясь как можно быстрее захватить их первыми.


Разработчики Drupal и ИБ-специалисты еще раз убедительно призывают владельцев и администраторов сайтов установить обновления, если это еще не было сделано.


Источник новостиgoogle.com

В марте 2018 года разработчики CMS Drupal анонсировали скорый выход патчей для некой «чрезвычайно критической» уязвимости, попросили администраторов подготовиться к выходу патчей заранее и установить обновления сразу же, как только те станут доступны. Дело в том, что эксплоит для опасной бреши, по мнению разработчиков, мог быть создан за считанные дни или даже часы, после публикации данных о проблеме. Вскоре выяснилось, что опасения у авторов Drupal вызвал баг CVE-2018-7600, которому в сети тут же дали имя Drupalgeddon2 – в честь старой уязвимости Drupalgeddon (CVE-2014-3704, SQL-инъекция), обнаруженной в 2014 году и тогда ставшей причиной взлома множества сайтов под управлением Drupal. Уязвимость позволяет атакующему выполнить произвольный код в самом «сердце» CMS, полностью скомпрометировав уязвимый сайт. Для этого злоумышленнику не потребуется регистрация, аутентификация и какие-либо сложные манипуляции. Фактически, достаточно просто обратиться к определенному URL-адресу. Однако разработчики Drupal предпочли разгласить как можно меньше подробностей о проблеме. В конце прошлой недели исследователи Check Point и Dofinity, наконец, обнародовали детальный анализ проблемы, после чего российский ИБ-специалист Виталий Рудных опубликовал на GitHub PoC-эксплоит для уязвимости («в ознакомительных и образовательных целях»). Спустя считанные часы после публикации эксплоита аналитики Imperva, Sucuri и SANS Internet Storm Center сообщили о первых попытках эксплуатации уязвимости и атаках на сайты, работающие под управлением Drupal. Исследователи подтверждают, что попытки злоумышленников базируются именно на PoC с GitHub, но отмечают, что пока о волне атак речи не идет, наблюдаются единичные случаи. В настоящее время серверы-ловушки исследователей фиксируют попытки использования простых и «безвредных» команд, таких как echo, phpinfo, whoami или touch. Тем не менее, эксперты ожидают, что в ближайшие дни количество атак значительно возрастет, а между различными группами злоумышленников возникнет своего рода «конкуренция». Ожидается, что взломщики будут «сражаться» за уязвимые сайты, стараясь как можно быстрее захватить их первыми. Разработчики Drupal и ИБ-специалисты еще раз убедительно призывают владельцев и администраторов сайтов установить обновления, если это еще не было сделано. Источник новости - google.com

Теги: CSS, после уязвимости считанные эксплоит можно

Просмотров: 2 313
Комментариев: 0:   17-04-2018, 11:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: