PHP framework Nette obsahující kritickou zranitelnost CVE-2020-15227

4.56K zhlédnutíWebhosting
0

V PHP frameworku Nette byla objevena kritická zranitelnost, která umožňuje útočníkům spouštět svůj kód. Vývojáři již před pár dny tuto kritickou zranitelnost opravili, nicméně stále je velké množství uživatelů, kteří neprovedli aktualizaci. Těmto zákazníkům jsme se rozhodli napsat a upozornit je na nutnost aktualizace.

Prosíme všechny, aby se ujistili, že mají svou verzi Nette aktuální.

  • nette/application 3.0.6 (případně 3.1-dev)
  • nette/application 2.4.16
  • nette/application 2.3.14
  • nette/application 2.2.10
  • nette/nette 2.1.13
  • nette/nette 2.0.19

Z naší strany o útocích už nějakou dobu víme a snažíme se je blokovat. Od včerejších (14.10.2020) večerních hodin evidujeme tisíce takovýchto pokusů za hodinu. Nicméně naše IPS/IDS ochrana prozatím nechrání weby na HTTPS (nevidíme do provozu) a nemusí také zachytit všechny druhy útoku. Dále blokujeme IP adresy nejaktivnějších útočníků, což chrání všechny weby i ty na HTTPS.

Více informací o chybě CVE-2020-15227 se dozvíte přímo na stránkách Nette.

https://blog.nette.org/cs/cve-2020-15227-chyba-potencialne-umoznujici-vzdalene-spusteni-kodu
https://forum.nette.org/cs/33817-cve-2020-15227-chyba-potencialne-umoznujici-vzdalene-spusteni-kodu

MN72787 Odpověděl na otázku 15. 10. 2020
0

Kde to prosím zjistím, jakou mám verzi Nette? V detailu hostingu nic takového nevidím. Děkuji

Role: Zákazník
TJ285257 Změnil status na publikováno 15. 10. 2020
0
TJ285257 32.16K - WEDOS Internet, a.s. 0 Comments

Dobrý den,

podívejte se prosím zde https://forum.nette.org/cs/28926-zjisteni-verze-nette-frameworku

Role: Podpora
TJ285257 Odpověděl na otázku 15. 10. 2020
0

Udělal jsem aktualizaci na webu šablony, která to způsobovala – můžu nějak ověřit, že je vše v pořádku? dá se znovu proskenovat můj web? Děkuji

Role: Zákazník
PK265670 Změnil status na publikováno 15. 10. 2020
0

Prosím, na základě čeho jste rozesílali upozornění na zranitelnost? Mám vše patchnuté už několik dní, ale přišly hlášky paušálně na všechny weby bez ohledu na verze a na obsah MicroPresenter.php kde se zranitelnost nacházela.

Role: Zákazník
PK265670 Změnil status na publikováno 15. 10. 2020
1

Díky za přístup. Bude možné si někde v administraci nechat přeskenovat hosting na zranitelnost? Pro ověření toho, že jsem na žádnou doménu nezapomněl.

Možná to zní zvláštně, ale když už se svým menším webovým projektům nevěnuji, moc nevím, co kde ještě běží a co ne a času se tomu věnovat je poskrovnu :). Tenhle nástroj by ověření opravy zjednodušil (a počítám, že kód na proskenování již máte stejně napsaný, když o zranitelnosti rozesílali upozornění).

Role: Zákazník
MV270050 publikoval nový komentář 30. 10. 2020

Dobrý den,
do budoucna obdobnou funkci plánujeme zprovoznit, avšak momentálně k dispozici není.