Форум OlegON > Компьютеры и Программное обеспечение > Сеть > Создание сайтов и поисковая оптимизация (SEO)

В Drupal исправлены две критические уязвимости : Создание сайтов и поисковая оптимизация (SEO)

22.11.2024 5:17


23.01.2019 07:36



В версиях Drupal 7, 8.5 и 8.6 исправлены две серьезные уязвимости, позволяющие удаленно выполнить произвольный код.

Первая уязвимость связана с тем, как встроенная в PHP обертка потока phar обрабатывает недоверенные унификаторы URI phar://. В связи с уязвимостью разработчики системы управления контентом (CMS) решили добавить .phar в список опасных расширений. Поэтому во избежание эксплуатации уязвимости загруженные в Drupal файлы .phar будут автоматически конвертированы в .txt.

Разработчики Drupal также деактивировали обертку потока phar:// на сайтах под управлением Drupal 7 с версиями PHP ниже 5.3.3. В более ранних версиях PHP обертку потока можно повторно включить вручную, однако в таком случае существует угроза эксплуатации уязвимости злоумышленниками.

Вторая уязвимость связана со сторонней библиотекой PEAR Archive_Tar для работы с файлами .tar в PHP. Эксплуатация уязвимости, предполагающая использование обертки потока phar и особым образом сконфигурированного файла .tar, может привести к удалению файлов и потенциально к удаленному выполнению кода. Разработчики Archive_Tar исправили уязвимость (CVE-2018-1000888), и обновленная библиотека была добавлена в ядро Drupal.

Обе вышеописанные уязвимости были исправлены в версиях Drupal 8.6.6, 8.5.9 и 7.62. Версии Drupal 8 до 8.5.x больше не поддерживаются производителем и не получают обновлений безопасности.
Часовой пояс GMT +3, время: 05:17.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.