Сайты клиентов, заключивших договор техподдержки с SStudio, переведены на новейшую версию Drupal 7.38.
Это критическое обновление безопасности, и всем клиентам, которые не заключили с нами договор техподдержки, мы рекомендуем немедленно обновить свои сайты.
Выявленные уязвимости касаются работы нескольких распространенных модулей:
- OpenID - раскрыта возможность злоумышленнику войти через OpenID (например, ЖЖ) в любой аккаунт на сайте, в том числе администраторский, и захватить его.
- Field UI - использование параметра запроса в URL для перенаправления на целевую страницу после завершения действий позволяет злоумышленнику использовать этот параметр для построения ложного URL и перенаправления на чуждый сайт.
- Overlay - наложение административных страниц использует ява-скрипт, и недостаточно проверяет адреса до отображения содержимого страниц, что приводит к открытой уязвимости переадресации.
- Render cache system - при кэшировании по ролям содержимое просмотра пользователя №1 может быть доступно в кэше непривилегированным пользователям.
Обновление до версии Drupal 7.38 полностью закрывает описанные уязвимости.
Россия, Калужская область, Калуга, пл. Старый Торг, 5 (пропускная система, вход только по предварительному согласованию!)