www.

Δευτέρα, 13 Μαΐου 2019

Drupal Core - Σημαντική αναβάθμιση ασφαλείας - Path Traversal Vulnerability


Η νέα αναβάθμιση ασφαλείας της γνωστής εφαρμογής δημοσιεύθηκε πρόσφατα από την κοινότητα του Drupal με στόχο τη διόρθωση ευπάθειας τύπου "Path Traversal" στα αρχεία .Phar.

Project:
Drupal core
Ημερομηνία: 9 Μαΐου 2019
Ευπάθεια: Path Traversal
Περιγραφή: Αυτή η αναβάθμιση ασφαλείας επιδιορθώνει τον μηχανισμό ενσωμάτωσης αρχείων τρίτων κατασκευαστών (third party dependencies) στον πυρήνα του Drupal.

Προκειμένου να αποφευχθούν οι κλήσεις αρχείων σε ανεπιθύμητα / κακόβουλα .Phar αρχεία μέσω συναρτήσεων όπως η file_exists ή η stat κ.ά., το base name του εκάστοτε αρχείου πρέπει να καθορίζεται  και να ελέγχεται πριν από την ένταξή του στη ροή εκτέλεσης της PHP (PHP Phar stream handling).

Η τρέχουσα υλοποίηση αυτού του μηχανισμού στο Drupal είναι ευάλωτη σε επιθέσεις Path Traversal, πράγμα που σημαίνει ότι το αρχείο στο οποίο γίνεται ο έλεγχος μπορεί να μην είναι το επιθυμητό αλλά κάποιο άλλο παραποιημένο αρχείο.
Λύση:
Αναβάθμιση στις τελευταίες εκδόσεις:

Αν χρησιμοποιείτε Drupal 8.7 αναβαθμίστε στο Drupal 8.7.1.
Αν χρησιμοποιείτε Drupal 8.6 αναβαθμίστε στο Drupal 8.6.16.
Αν χρησιμοποιείτε Drupal 7, αναβαθμίστε στο Drupal 7.67
 
Εκδόσεις Drupal 8 που προηγούνται της έκδοσης 8.6.x δεν υποστηρίζονται με αναβαθμίσεις ασφαλείας.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR