https://metrika.yandex.ru/dashboard?id=69437956
 

Инженеры Drupal выпустили экстренные патчи.


Инженеры Drupal выпустили срочные исправления для критических уязвимостей, которые могут допускать выполнение произвольного PHP-кода в некоторых версиях CMS. Проблема в том, что эксплоиты для этих проблем уже существуют, а обнаруживший баги исследователь уже обнародовал их на GitHub.

Согласно официальному сообщению Drupal, уязвимость была связана с двумя ошибками в библиотеке PEAR Archive_Tar, которые получили идентификаторы CVE-2020-28948 и CVE-2020-28949. RCE-баг может сработать, если CMS настроена таким образом, что обработка и загрузка файлов .tar, .tar.gz, .bz2 и .tlz была разрешена.


Эксплуатация бага включает в себя манипулирование именами файлов и может позволить хакеру выполнить произвольный PHP-код или перезаписать файлы, в том числе важные, к примеру, как /etc/passwd и /etc/shadow.

В этой связи Drupal рекомендует как можно скорее установить следующие обновления:

  • пользователи Drupal 9.0 должны обновиться до Drupal 9.0.9;

  • пользователи Drupal 8.9 должны обновиться до Drupal 8.9.10;

  • пользователи Drupal 8.8 или более ранней версии должны обновиться до Drupal 8.8.12;

  • пользователи Drupal 7 должны обновиться до Drupal 7.75.

Также в заявлении компании отмечается, что версии Drupal от 8 до 8.8.x являются устаревшими и не получат обновлений.

Если же установка патчей по каким-то причинам невозможна, администраторам сайтов рекомендуется временно запретить загрузку файлов .tar, .tar.gz, .bz2 и .tlz для недоверенных пользователей.