PHP framework Nette obsahující kritickou zranitelnost CVE-2020-15227
V PHP frameworku Nette byla objevena kritická zranitelnost, která umožňuje útočníkům spouštět svůj kód. Vývojáři již před pár dny tuto kritickou zranitelnost opravili, nicméně stále je velké množství uživatelů, kteří neprovedli aktualizaci. Těmto zákazníkům jsme se rozhodli napsat a upozornit je na nutnost aktualizace.
Prosíme všechny, aby se ujistili, že mají svou verzi Nette aktuální.
- nette/application 3.0.6 (případně 3.1-dev)
- nette/application 2.4.16
- nette/application 2.3.14
- nette/application 2.2.10
- nette/nette 2.1.13
- nette/nette 2.0.19
Z naší strany o útocích už nějakou dobu víme a snažíme se je blokovat. Od včerejších (14.10.2020) večerních hodin evidujeme tisíce takovýchto pokusů za hodinu. Nicméně naše IPS/IDS ochrana prozatím nechrání weby na HTTPS (nevidíme do provozu) a nemusí také zachytit všechny druhy útoku. Dále blokujeme IP adresy nejaktivnějších útočníků, což chrání všechny weby i ty na HTTPS.
Více informací o chybě CVE-2020-15227 se dozvíte přímo na stránkách Nette.
https://blog.nette.org/cs/cve-2020-15227-chyba-potencialne-umoznujici-vzdalene-spusteni-kodu
https://forum.nette.org/cs/33817-cve-2020-15227-chyba-potencialne-umoznujici-vzdalene-spusteni-kodu
5 Answers
Kde to prosím zjistím, jakou mám verzi Nette? V detailu hostingu nic takového nevidím. Děkuji
Dobrý den,
podívejte se prosím zde https://forum.nette.org/cs/28926-zjisteni-verze-nette-frameworku
Udělal jsem aktualizaci na webu šablony, která to způsobovala – můžu nějak ověřit, že je vše v pořádku? dá se znovu proskenovat můj web? Děkuji
Prosím, na základě čeho jste rozesílali upozornění na zranitelnost? Mám vše patchnuté už několik dní, ale přišly hlášky paušálně na všechny weby bez ohledu na verze a na obsah MicroPresenter.php kde se zranitelnost nacházela.
Díky za přístup. Bude možné si někde v administraci nechat přeskenovat hosting na zranitelnost? Pro ověření toho, že jsem na žádnou doménu nezapomněl.
Možná to zní zvláštně, ale když už se svým menším webovým projektům nevěnuji, moc nevím, co kde ještě běží a co ne a času se tomu věnovat je poskrovnu :). Tenhle nástroj by ověření opravy zjednodušil (a počítám, že kód na proskenování již máte stejně napsaný, když o zranitelnosti rozesílali upozornění).