Серджиу Гатлан
- 22 января 2021 г.
- 09:07 утра
Drupal выпустила обновление безопасности для устранения критической уязвимости в сторонней библиотеке с документированными или развернутыми эксплойтами, доступными в дикой природе..
«Проект Drupal использует библиотеку pear Archive_Tar, которая выпустила обновление безопасности, которое влияет на Drupal», — заявила группа безопасности Drupal..
Drupal используется примерно 2,4% всех сайтов с системами управления контентом, что делает его пятым по популярности CMS в Интернете после WordPress (64,1%), Shopify (5,2%), Joomla (3,5%) и Squarespace (2,5%)..
Обновления безопасности для всех уязвимых версий
Согласно рекомендациям по безопасности Drupal, уязвимость вызвана ошибкой в библиотеке PEAR Archive_Tar, используемой CMS, отслеживаемой как CVE-2020-36193..
Ошибка вызывает уязвимости извлечения вне пути через «операции записи с обходом каталогов из-за неадекватной проверки символических ссылок».
Для успешной эксплуатации требуется доступ к учетным записям пользователей с базовыми разрешениями на серверах с необычными конфигурациями модулей..
Использование уязвимости Drupal возможно только в том случае, если CMS настроена так, чтобы разрешать и обрабатывать загрузку файлов .tar.tar.gz.bz2 или .tlz..
После эксплуатации злоумышленники могут изменить или удалить все данные, а также получить доступ ко всем закрытым данным, доступным на скомпрометированном сервере..
Drupal рекомендует установить следующие обновления на уязвимых серверах:
- Пользователи Drupal 9.1 должны обновиться до Drupal 9.1.3
- Пользователи Drupal 9.0 должны обновиться до Drupal 9.0.11
- Пользователи Drupal 8.9 должны обновиться до Drupal 8.9.13
- Пользователи Drupal 7 должны обновиться до Drupal 7.78
«Версии Drupal 8 до 8.9.x являются устаревшими и не получают защиты», — добавила группа безопасности Drupal..
Эта уязвимость связана с другим критическим недостатком безопасности с известными эксплойтами, вызванным ошибкой CVE-2020-28948 в библиотеке PEAR Archive_Tar, которая может допускать выполнение произвольного кода PHP в некоторых версиях CMS..
В ноябре Drupal выпустила внешнее экстренное обновление безопасности, чтобы исправить это, что позволяет администраторам быстро исправлять свои серверы, чтобы защитить их от потенциальных атак..
Доступны меры по смягчению последствий
Меры по смягчению доступны для администраторов, которые не могут немедленно развернуть обновление безопасности на своих серверах Drupal..
Для этого им рекомендуется отключить загрузку файлов .tar.tar.gz.bz2 или .tlz, чтобы временно устранить проблему..
DHS-CISA также выпустило предупреждение в четверг, призывая администраторов и пользователей обновить Drupal, чтобы не дать злоумышленникам захватить непропатченные серверы..
Drupal исправил еще одну критическую уязвимость удаленного выполнения кода, отслеживаемую как CVE-2020-13671, и позволяющую злоумышленникам выполнять вредоносный код на уязвимых серверах из-за неправильной очистки имен файлов для загруженных файлов..
«Обратите особое внимание на следующие расширения файлов, которые следует считать опасными, даже если за ними следует одно или несколько дополнительных расширений: phar, PHP, pl, py, cgi, asp, js, HTML, htm и phtml», — сказал Друпал на время.
«Этот список не является исчерпывающим, поэтому оценивайте проблемы безопасности для других включенных расширений в индивидуальном порядке».
