C
тем более в восьмёрке любой запуск php кроме index.php запрещён на уровне .htaccess
Size: a a a
2020 November 18
C
привет любителям nginx
AI
Drupal core - Critical - Remote code execution - SA-CORE-2020-012
https://www.drupal.org/sa-core-2020-012
Project: Drupal core (https://www.drupal.org/project/drupal)Date: 2020-November-18Security risk: Critical 17∕25 AC:Basic/A:User/CI:All/II:All/E:Theoretical/TD:DefaultVulnerability: Remote code executionCVE IDs: CVE-2020-13671Description: Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations.Solution: Install the latest version:
If you are using Drupal 9.0, update to Drupal 9.0.8 (https://www.drupal.org/project/drupal/releases/9.0.8)
If you are using Drupal 8.9, update to Drupal 8.9.9 (https://www.drupal.org/project/drupal/releases/8.9.9)
If you are using Drupal 8.8 or earlier, update to Drupal 8.8.11 (https://www.drupal.org/project/drupal/releases/8.8.11)
If you are using Drupal 7, update to Drupal 7.74 (https://www.drupal.org/project/drupal/releases/7.74)
Versions of Drupal 8 prior to 8.8.x are end-of-life and do not receive security coverage.
Additionally, it's recommended that you audit all previously uploaded files to check for malicious extensions. Look specifically for files that include more than one extension, like .php.txt or .html.gif.Reported By: ufku (https://www.drupal.org/user/9910)
Mark Ferree (https://www.drupal.org/user/76245)
Frédéric G. Marand (https://www.drupal.org/user/27985)
Samuel Mortenson (https://www.drupal.org/user/2582268) of the Drupal Security Team
Derek Wright (https://www.drupal.org/user/46549)
Fixed By: Heine (https://www.drupal.org/user/17943) of the Drupal Security Team
ufku (https://www.drupal.org/user/9910)
Mark Ferree (https://www.drupal.org/user/76245)
Michael Hess (https://www.drupal.org/user/102818) of the Drupal Security Team
David Rothstein (https://www.drupal.org/user/124982) of the Drupal Security Team
Peter Wolanin (https://www.drupal.org/user/49851) of the Drupal Security Team
Jess (https://www.drupal.org/user/65776) of the Drupal Security Team
Frédéric G. Marand (https://www.drupal.org/user/27985)
Stefan Ruijsenaars (https://www.drupal.org/user/551886)
David Snopek (https://www.drupal.org/user/266527) of the Drupal Security Team
Rick Manelius (https://www.drupal.org/user/680072)
David Strauss (https://www.drupal.org/user/93254) of the Drupal Security Team
Samuel Mortenson (https://www.drupal.org/user/2582268) of the Drupal Security Team
Ted Bowman (https://www.drupal.org/user/240860)
Alex Pott (https://www.drupal.org/user/157725) of the Drupal Security Team
Derek Wright (https://www.drupal.org/user/46549)
Lee Rowlands (https://www.drupal.org/user/395439) of the Drupal Security Team
Kim Pepper (https://www.drupal.org/user/370574)
Wim Leers (https://www.drupal.org/user/99777)
Nate Lampton (https://www.drupal.org/user/35821)
Drew Webber (https://www.drupal.org/user/255969) of the Drupal Security Team
Fabian Franz (https://www.drupal.org/user/693738)
Alex Bronstein (https://www.drupal.org/user/78040) of the Drupal Security Team
Neil Drumm (https://www.drupal.org/user/3064) of the Drupal Security Team
Joseph Zhao (https://www.drupal.org/user/1987218)
Ryan Aslett (https://www.drupal.org/user/391689)
https://www.drupal.org/sa-core-2020-012
Project: Drupal core (https://www.drupal.org/project/drupal)Date: 2020-November-18Security risk: Critical 17∕25 AC:Basic/A:User/CI:All/II:All/E:Theoretical/TD:DefaultVulnerability: Remote code executionCVE IDs: CVE-2020-13671Description: Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations.Solution: Install the latest version:
If you are using Drupal 9.0, update to Drupal 9.0.8 (https://www.drupal.org/project/drupal/releases/9.0.8)
If you are using Drupal 8.9, update to Drupal 8.9.9 (https://www.drupal.org/project/drupal/releases/8.9.9)
If you are using Drupal 8.8 or earlier, update to Drupal 8.8.11 (https://www.drupal.org/project/drupal/releases/8.8.11)
If you are using Drupal 7, update to Drupal 7.74 (https://www.drupal.org/project/drupal/releases/7.74)
Versions of Drupal 8 prior to 8.8.x are end-of-life and do not receive security coverage.
Additionally, it's recommended that you audit all previously uploaded files to check for malicious extensions. Look specifically for files that include more than one extension, like .php.txt or .html.gif.Reported By: ufku (https://www.drupal.org/user/9910)
Mark Ferree (https://www.drupal.org/user/76245)
Frédéric G. Marand (https://www.drupal.org/user/27985)
Samuel Mortenson (https://www.drupal.org/user/2582268) of the Drupal Security Team
Derek Wright (https://www.drupal.org/user/46549)
Fixed By: Heine (https://www.drupal.org/user/17943) of the Drupal Security Team
ufku (https://www.drupal.org/user/9910)
Mark Ferree (https://www.drupal.org/user/76245)
Michael Hess (https://www.drupal.org/user/102818) of the Drupal Security Team
David Rothstein (https://www.drupal.org/user/124982) of the Drupal Security Team
Peter Wolanin (https://www.drupal.org/user/49851) of the Drupal Security Team
Jess (https://www.drupal.org/user/65776) of the Drupal Security Team
Frédéric G. Marand (https://www.drupal.org/user/27985)
Stefan Ruijsenaars (https://www.drupal.org/user/551886)
David Snopek (https://www.drupal.org/user/266527) of the Drupal Security Team
Rick Manelius (https://www.drupal.org/user/680072)
David Strauss (https://www.drupal.org/user/93254) of the Drupal Security Team
Samuel Mortenson (https://www.drupal.org/user/2582268) of the Drupal Security Team
Ted Bowman (https://www.drupal.org/user/240860)
Alex Pott (https://www.drupal.org/user/157725) of the Drupal Security Team
Derek Wright (https://www.drupal.org/user/46549)
Lee Rowlands (https://www.drupal.org/user/395439) of the Drupal Security Team
Kim Pepper (https://www.drupal.org/user/370574)
Wim Leers (https://www.drupal.org/user/99777)
Nate Lampton (https://www.drupal.org/user/35821)
Drew Webber (https://www.drupal.org/user/255969) of the Drupal Security Team
Fabian Franz (https://www.drupal.org/user/693738)
Alex Bronstein (https://www.drupal.org/user/78040) of the Drupal Security Team
Neil Drumm (https://www.drupal.org/user/3064) of the Drupal Security Team
Joseph Zhao (https://www.drupal.org/user/1987218)
Ryan Aslett (https://www.drupal.org/user/391689)
AP
тем более в восьмёрке любой запуск php кроме index.php запрещён на уровне .htaccess
это вовсе не обязательно так( nginx конфиги тоже разные бродят(
AP
привет любителям nginx
как надо надо настроить nginx чтобы исполнять файлы .php.txt? ну вернее я конечно смогу так настроить специально, но в какой реальность так можно настроить случайно?
только если многоходовочку устраивать и где-то намеренно писать такие «подсказки» и советы типа rm -rf /
только если многоходовочку устраивать и где-то намеренно писать такие «подсказки» и советы типа rm -rf /
C
я про то, что nginx клал на htaccess
АК
как надо надо настроить nginx чтобы исполнять файлы .php.txt? ну вернее я конечно смогу так настроить специально, но в какой реальность так можно настроить случайно?
только если многоходовочку устраивать и где-то намеренно писать такие «подсказки» и советы типа rm -rf /
только если многоходовочку устраивать и где-то намеренно писать такие «подсказки» и советы типа rm -rf /
Выложить такой конфиг на stackoverflow и через полгода можно ломать кого хочешь)))
C
под апачем хоть php заливай, ничего не будет
AP
весьма спорно и сильно зависит от рук
C
оно по дефолту так
АК
На семёрке на дефолтном конфиге файлы php, залитые в папки тем или модулей можно вызывать по прямой ссылке. На 8 и 9 не проверял.
C
в 8+ нельзя
AP
я про то, что nginx клал на htaccess
от любителей nginx любителям апача могу сказать вот что:
в nginx можно на уровне конфига задать любые правила. Если это инклюдящийся файл (а так настроено думаю у всех), то правки этого файла влияют на все установленные друпалы сразу. Эта конфигурация нджинкса находится за пределами сайта и на неё не повлиять неродивому разработчику, который возьмёт и удалит/поправит файлы .htaccess чтобы «было удобнее» или по какому-нибудь случайному мануалу - и такое действие будет отследить достаточно сложно.
-
и производительность у апача полное говно - это не в тему конечно, но это нельзя не упомянуть 😂
в nginx можно на уровне конфига задать любые правила. Если это инклюдящийся файл (а так настроено думаю у всех), то правки этого файла влияют на все установленные друпалы сразу. Эта конфигурация нджинкса находится за пределами сайта и на неё не повлиять неродивому разработчику, который возьмёт и удалит/поправит файлы .htaccess чтобы «было удобнее» или по какому-нибудь случайному мануалу - и такое действие будет отследить достаточно сложно.
-
и производительность у апача полное говно - это не в тему конечно, но это нельзя не упомянуть 😂
C
"задать любые правила" хехе
C
полное говно это как?
AP
полное говно это как?
это три с половиной звёздочки по пятибальной шкале говёности.
C
не такой уж и говно выходит
C
а у докера сколько звёздочек?
AP
так это пятибальной шкала, а не как в школе. середина находится на 2.5
C
говно это в районе единицы