PHP framework Nette obsahující kritickou zranitelnost CVE-2020-15227

3.23K zhlédnutíWebhosting
0

V PHP frameworku Nette byla objevena kritická zranitelnost, která umožňuje útočníkům spouštět svůj kód. Vývojáři již před pár dny tuto kritickou zranitelnost opravili, nicméně stále je velké množství uživatelů, kteří neprovedli aktualizaci. Těmto zákazníkům jsme se rozhodli napsat a upozornit je na nutnost aktualizace.

Prosíme všechny, aby se ujistili, že mají svou verzi Nette aktuální.

  • nette/application 3.0.6 (případně 3.1-dev)
  • nette/application 2.4.16
  • nette/application 2.3.14
  • nette/application 2.2.10
  • nette/nette 2.1.13
  • nette/nette 2.0.19

Z naší strany o útocích už nějakou dobu víme a snažíme se je blokovat. Od včerejších (14.10.2020) večerních hodin evidujeme tisíce takovýchto pokusů za hodinu. Nicméně naše IPS/IDS ochrana prozatím nechrání weby na HTTPS (nevidíme do provozu) a nemusí také zachytit všechny druhy útoku. Dále blokujeme IP adresy nejaktivnějších útočníků, což chrání všechny weby i ty na HTTPS.

Více informací o chybě CVE-2020-15227 se dozvíte přímo na stránkách Nette.

https://blog.nette.org/cs/cve-2020-15227-chyba-potencialne-umoznujici-vzdalene-spusteni-kodu
https://forum.nette.org/cs/33817-cve-2020-15227-chyba-potencialne-umoznujici-vzdalene-spusteni-kodu

Odpověděl na otázku
0

Kde to prosím zjistím, jakou mám verzi Nette? V detailu hostingu nic takového nevidím. Děkuji

Role: Zákazník
Změnil status na publikováno
0
10.47K - WEDOS Internet, a.s. 0 Comments

Dobrý den,

podívejte se prosím zde https://forum.nette.org/cs/28926-zjisteni-verze-nette-frameworku

Role: Podpora
Odpověděl na otázku
0

Udělal jsem aktualizaci na webu šablony, která to způsobovala – můžu nějak ověřit, že je vše v pořádku? dá se znovu proskenovat můj web? Děkuji

Role: Zákazník
Změnil status na publikováno
0

Prosím, na základě čeho jste rozesílali upozornění na zranitelnost? Mám vše patchnuté už několik dní, ale přišly hlášky paušálně na všechny weby bez ohledu na verze a na obsah MicroPresenter.php kde se zranitelnost nacházela.

Role: Zákazník
Změnil status na publikováno
1

Díky za přístup. Bude možné si někde v administraci nechat přeskenovat hosting na zranitelnost? Pro ověření toho, že jsem na žádnou doménu nezapomněl.

Možná to zní zvláštně, ale když už se svým menším webovým projektům nevěnuji, moc nevím, co kde ještě běží a co ne a času se tomu věnovat je poskrovnu :). Tenhle nástroj by ověření opravy zjednodušil (a počítám, že kód na proskenování již máte stejně napsaný, když o zranitelnosti rozesílali upozornění).

Role: Zákazník
publikoval nový komentář

Dobrý den,
do budoucna obdobnou funkci plánujeme zprovoznit, avšak momentálně k dispozici není.

Kategorie