В Drupal исправлены две критические уязвимости

Apollon
Оффлайн

Apollon

Заблокированный
Заблокирован
Регистрация
07.09.17
Сообщения
5.317
Реакции
1.007
Репутация
1.625
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
You must be registered for see images attach

В версиях Drupal 7, 8.5 и 8.6 исправлены две серьезные уязвимости, позволяющие удаленно выполнить произвольный код.

Первая уязвимость связана с тем, как встроенная в PHP обертка потока phar обрабатывает недоверенные унификаторы URI phar://. В связи с уязвимостью разработчики системы управления контентом (CMS) решили добавить .phar в список опасных расширений. Поэтому во избежание эксплуатации уязвимости загруженные в Drupal файлы .phar будут автоматически конвертированы в .txt.

Разработчики Drupal также деактивировали обертку потока phar:// на сайтах под управлением Drupal 7 с версиями PHP ниже 5.3.3. В более ранних версиях PHP обертку потока можно повторно включить вручную, однако в таком случае существует угроза эксплуатации уязвимости злоумышленниками.

Вторая уязвимость связана со сторонней библиотекой PEAR Archive_Tar для работы с файлами .tar в PHP. Эксплуатация уязвимости, предполагающая использование обертки потока phar и особым образом сконфигурированного файла .tar, может привести к удалению файлов и потенциально к удаленному выполнению кода. Разработчики Archive_Tar исправили уязвимость (CVE-2018-1000888), и обновленная библиотека была добавлена в ядро Drupal.

Обе вышеописанные уязвимости были исправлены в версиях Drupal 8.6.6, 8.5.9 и 7.62. Версии Drupal 8 до 8.5.x больше не поддерживаются производителем и не получают обновлений безопасности.
 
Сверху Снизу