O Drupal lançou atualizações de segurança para o Drupal 7, 8.5 e 8.6 que abordam duas vulnerabilidades de segurança “críticas” que podem ser exploradas para execução de código arbitrário.

A primeira vulnerabilidade pode ser explorada por um atacante remoto de forma a executar código PHP arbitrário. A falha reside no wrapper phar stream implementado no PHP e está relacionado à forma como ele lida com handles untrusted phar:// URIs.

“A remote code execution vulnerability exists in PHP’s built-in phar stream wrapper when performing file operations on an untrusted phar:// URI. ” reads the security advisory.

“Some Drupal code (core, contrib, and custom) may be performing file operations on insufficiently validated user input, thereby being exposed to this vulnerability, This vulnerability is mitigated by the fact that such code paths typically require access to an administrative permission or an atypical configuration.”

 

A equipa de desenvolvimento marcou a .phar como uma extensão potencialmente perigosa, isso significa que os ficheiros .phar enviados para um website em execução no CMS serão convertidos automaticamente em .txt para impedir a execução mal-intencionada.

Observe que o wrapper de fluxo de substituição não é compatível com versões do PHP menores que 5.3.3.

A equipa de desenvolvimento desativou o wrapper phar: // para websites do Drupal 7 a executar uma versão do PHP anterior à 5.3.3.

“Drupal 7 sites using PHP 5.2 (or PHP 5.3.0-5.3.2) that require phar support will need to re-enable the stream wrapper for it; however, note that re-enabling the stream wrapper will re-enable the insecure PHP behavior on those PHP versions.” continues the advisory.

 

A segunda falha afeta o PEAR Archive_Tar, uma biblioteca de terceiros que serve para manipular ficheiros  .tar no PHP. Um atacante pode usar um ficheiro .tar especialmente criado para excluir ficheiros arbitrários no sistema e possivelmente executar código remoto.

“Drupal core uses the third-party PEAR Archive_Tar library. This library has released a security update which impacts some Drupal configurations. Refer to CVE-2018-1000888 for details.” reads the security advisory.

 

Ambas as vulnerabilidades estão corrigidas na versão mais atual do Drupal.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *