-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Prezados, CAIS-Alerta [20/12/2019]: Vulnerabilidades no CMS Drupal (CORE) O CAIS alerta para as recentes vulnerabilidades críticas encontrada no sistema de gerenciamento de conteúdo web (CMS) Drupal, as quais podem causar alterações das configurações do sistema, negação de serviço e outros incidentes de segurança. Já foram desenvolvidos códigos de exploração para algumas das vulnerabilidades identificadas. DESCRIÇÃO - - Comprometimento do cache do Drupal. Um acesso indevido ao arquivo install.php pode corromper os dados em cache, causando indisponibilidade da aplicação até que o cache seja refeito. Essa vulnerabilidade pode ser mitigada restringindo o acesso ao install.php. - - Bypass em regras de proteção de acesso. A função file_save_upload() não trata corretamente o caractere de ponto ('.') no começo ou final dos nomes dos arquivos que são carregados na aplicação via upload, o que pode permitir que um usuário malicioso que tenha esta permissão faça um upload de um arquivo de sistema, como o .htaccess, com o intuito de burlar as proteções de acesso do Drupal. Somente os sistemas Drupal a partir da versão 8 contém esta vulnerabilidade. - - Execução remota de códigos maliciosos no sistema. A biblioteca Archive_Tar, utilizada pelo módulo principal do Drupal, possui uma vulnerabilidade que permite o processamento imediato de arquivos .tar, .tar.gz, .bz2 ou .tlz após seu upload no sistema. Isso pode permitir que um usuário malicioso execute códigos arbitrários ao realizar um upload de um arquivo malicioso. SISTEMAS IMPACTADOS Sistemas utilizando Drupal. VERSÕES AFETADAS Versão 8.8.0. Versão 8.7.x e todas as versões anteriores. Versão 7.x e todas as versões anteriores. CORREÇÕES DISPONÍVEIS Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores: - - 7.69 para versões 7.x e anteriores. - - 8.7.11 para versões 8.7.x e anteriores. - - 8.8.1 para versões 8.8.0. IMPORTANTE: Versões do Drupal 8 anteriores à 8.7.x não terão mais suporte dos desenvolvedores (end-of-life) e, consequentemente, não terão mais atualizações de segurança. IDENTIFICADORES CVE (http://cve.mitre.org) Não informados. MAIS INFORMAÇÕES https://www.drupal.org/sa-core-2019-009 https://www.drupal.org/sa-core-2019-010 https://www.drupal.org/sa-core-2019-011 https://www.drupal.org/sa-core-2019-012 https://pear.php.net/package/Archive_Tar/ https://www.exploit-db.com/exploits/46108 https://us.norton.com/online-threats/phppear%27archive_tar%27multiplesecurityvulnerabilities-111243-vulnerability.html O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJd/NdlCRB83qA0uPj0mAAAqJ8P/A/Vs1+fhbnnwXiAXMXK Ka7CTSTeVi1hplEJ24Q2mtM52ll3UFhMkQaL3fvfAEnvNcSS9/mJZhJ3rA5n uS4QJ03EjM7Dl4WFlZEG08qI7gEKGbf+HTdUHWCJWLBdgWKh9/KrY14vaU+2 sbVvPG1EUsdPQLJrILyuFmBwuNZFhvnCz2wNq7AHFbaJcb81ij9fKlWmTLlh e4MXekdR+yWEaQ+viqiQkM1hcRkUCOUu4tYLmWMaXI8vwmdYRChrPgjNb7X5 T+wYFuwR1cNXt/MhiFhOEvK3LpJdnqozhySM/1fhLSKCSQjU8GCNKJoucAbO YgM6rOMJYSbPTRCO2teYbjeLMuJcxUxIbjQprg+aMQs0UcqwNBQy+VS1/Vyo occAbMeYCy4YorslJBtf87zGy0Le1XULoPc12WDQYhygYZOShWtQeZl8zXAl PucVgKNW+z/POOJpf3t+q2UKbdk8UQHQchXOdNXsuDuRxeZsc0No84IFtJ1O GR0kWzDsFR/ruyF3A2galzgV9CcvtGBPyIkazHWVL4zgtiXP3MDDYLY5v0Xq kH1gTAUBTg1ymWJsy5H99Vmzb2/0U05/uKbQovVDQ9ytOXOc/j0kY/ewHkoo JofWkSmtKZyQ+7z0n7ADk6A6IQSPPN92OzQN0v6SnBtWzQcKywnnsq1fpdLu Vhxw =+B9j -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta