PHP framework Nette obsahující kritickou zranitelnost CVE-2020-15227
V PHP frameworku Nette byla objevena kritická zranitelnost, která umožňuje útočníkům spouštět svůj kód. Vývojáři již před pár dny tuto kritickou zranitelnost opravili, nicméně stále je velké množství uživatelů, kteří neprovedli aktualizaci. Těmto zákazníkům jsme se rozhodli napsat a upozornit je na nutnost aktualizace.
Prosíme všechny, aby se ujistili, že mají svou verzi Nette aktuální.
- nette/application 3.0.6 (případně 3.1-dev)
- nette/application 2.4.16
- nette/application 2.3.14
- nette/application 2.2.10
- nette/nette 2.1.13
- nette/nette 2.0.19
Z naší strany o útocích už nějakou dobu víme a snažíme se je blokovat. Od včerejších (14.10.2020) večerních hodin evidujeme tisíce takovýchto pokusů za hodinu. Nicméně naše IPS/IDS ochrana prozatím nechrání weby na HTTPS (nevidíme do provozu) a nemusí také zachytit všechny druhy útoku. Dále blokujeme IP adresy nejaktivnějších útočníků, což chrání všechny weby i ty na HTTPS.
Více informací o chybě CVE-2020-15227 se dozvíte přímo na stránkách Nette.
https://blog.nette.org/cs/cve-2020-15227-chyba-potencialne-umoznujici-vzdalene-spusteni-kodu
https://forum.nette.org/cs/33817-cve-2020-15227-chyba-potencialne-umoznujici-vzdalene-spusteni-kodu
5 Answers
Díky za přístup. Bude možné si někde v administraci nechat přeskenovat hosting na zranitelnost? Pro ověření toho, že jsem na žádnou doménu nezapomněl.
Možná to zní zvláštně, ale když už se svým menším webovým projektům nevěnuji, moc nevím, co kde ještě běží a co ne a času se tomu věnovat je poskrovnu :). Tenhle nástroj by ověření opravy zjednodušil (a počítám, že kód na proskenování již máte stejně napsaný, když o zranitelnosti rozesílali upozornění).