Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Drupalen nukleoan

Argitaratze-data: 2019/01/17

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • 7.x, 8.5.x eta 8.6.x Drupal bertsioak

Azalpena:

Drupaleko segurtasun taldeak 7 eta 8 bertsioetan ahultasunak zuzentzen dituzten hiru eguneraketa argitaratu ditu.

Konponbidea:

  • Drupalen 7.62, 8.5.9 edo 8.6.6 bertsioetara eguneratzea, erabiltzen den bertsioaren arabera.

Drupal 8-ren 8.5.x bertsioaren aurrekoak azkenetan daude eta ez dute segurtasun estaldurarik jasotzen.

Xehetasuna:

Eguneraketa horiekin zuzendutako ahultasunak honakoak dira:

  • Drupal nukleoak hirugarrenen PEAR Archive_Tar liburutegia erabiltzen du. Liburutegi horrek segurtasun-eguneraketa bat argitaratu du, Drupalen konfigurazio batzuei eragiten diena. Ahultasun horretarako, CVE-2018-1000888 identifikatzailea esleitu da.
  •  Urrutiko kodearen exekuzio motako ahultasuna PHPren phar stream bilgarri integratuan, artxibo eragiketak phar:// URI ez konfiantzazko batean egiten direnean, balidazio ez zuzena duten erabiltzaileen sarrerak dituzten fitxategiekin eragiketak egiten ari diren Drupalen kode batzuei eragin ahal die. Ahultasun hori arindu egin da, kode-ibilbide horiek normalean administrari-baimena edo konfigurazio atipiko bat behar dutelako.
Etiketak: Eguneraketa, Edukien kudeatzailea, Ahultasuna