Hlavní navigace

Tisíce českých webů mohou být kvůli kritické chybě v Nette zranitelné

Sdílet

Jan Sedlák 19. 10. 2020

Až desítky tisíc webů běžících na doméně .CZ může být zranitelných. Souvisí to s nedávno popsanou závažnou zranitelností v populárním PHP frameworku Nette (CVE-2020–15227), pomocí které je možné vzdálené spuštění kódu a potenciální převzetí kontroly nad serverem. Zranitelnost se nachází v kódu samotného frameworku.

DNS crawler ADAM z dílen CZ.NIC, který periodicky prochází domény druhé úrovně a umožňuje analýzu získaných dat, poukázal na to, že problém se může týkat značného množství webů.

“V současné chvíli se nám podařilo skrze data získaná DNS crawlerem identifikovat přes 36 tisíc českých domén, na kterých je dostupný web postaven na Nette frameworku. Bohužel však z těchto dat není možné zjistit konkrétní verzi frameworku. Je tedy velmi pravděpodobné, že ne všech 36 tisíc webů je zranitelností ohroženo a mnohé již byly aktualizovány na některou z opravených verzí. Nicméně z naší zkušenosti víme, že tyto webové technologie obvykle nebývají z různých důvodů pravidelně aktualizovány, někdy i mnoho let. V současnosti tak diskutujeme možnosti identifikace konkrétních webů, které jsou zmíněnou zranitelností ohroženy a možnosti oslovení jejich vlastníků,” uvádí Filip Pokorný z CZ.NIC.

David Grudl, který Nette vyvíjí, ke zranitelnosti sepsal blogový příspěvek a chybu již opravil. Firmy jako Wedos, VSHosting nebo HostingBB své klienty o chybě informovaly a případně provedly opravu.

“Nejstarší zasaženou verzí bylo Nette 2.0, které už sice není šest let udržované, ale protože Nette má bezpečnost jako jednu z priorit, vydal jsem nové verze také u všech nepodporovaných verzí. Což je ve světě open source frameworků ojedinělý krok. Díky tomu mohou uživatelé snadno a bez prodlení aktualizovat nejen projekty udržované a běžící na současných verzích, ale i projekty s technologickým dluhem,” popisuje Grudl.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 19. 10. 2020 16:10

    ...

    Wedos blokuje volání, které se snaží tuhle zranitelnost zneužít. Vshosting i Master Internet aktivně oslovili svoje klienty a pomohli jim udělat opravu. Davig Grudl uvolnil php patch https://gist.github.com/dg/be0f26b31be15a2f1b1208a1714bf415, který i bez aktualizace zajistí opravu.

    Už první weby byly napadeny,.

  • 19. 10. 2020 18:22

    bez přezdívky

    Dotaz: kdyby pan Grudl byl na dovolené nebo nemocný, tak kdo to opraví? Jak silná je komunita kolem nette a má možnost tu upravu poslat v rámci nette jako oficiální opravu?
    Pokud by to stálo jen na jednom člověku, tak je dost blbý, že kvůli tomu může být zasaženo tolik cílů.

  • 21. 10. 2020 19:22

    Michal Lupecka

    Komunita kolem Nette je dost velká, stovky lidí aktivně přispívající k vývoji a úpravu by jistě někdo udělal.
    Těch co by ji mohli zasadit přímo do oficiálního nette projektu je ale jen 5 (konkrétně těchto 5: https://github.com/orgs/nette/people )

    Je ještě zajímavé že i s tou quick fix opravou (tedy NE aktualizací Nette, ale záplatováním možnosti zadat v URL příkazy které by chybu využily) tohoto bugu nebyl ani David Grudl první, o týden ho předběhl bezpečnostní expert Michal Špaček na úrovni shell scriptu ( https://gist.github.com/spaze/fb6d8cdc296e0314b50f8b484bcd1385 ). Tohle nasadili i mnozí poskytovatelé webhostingů.

    Samozřejmě nejvhodnější řešení by bylo pořád aktualizovat Nette, ale taky časově nejnáročnější.