-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Prezados,

CAIS-Alerta [27/11/2020]: Vulnerabilidade no Drupal CMS

O CAIS alerta para uma vulnerabilidade crítica do Drupal CMS que pode permitir execução de códigos arbitrários. Já foram publicados códigos de exploração para esta vulnerabilidade.

DESCRIÇÃO

Uma falha na biblioteca PEAR Archive_Tar utilizada pelo Drupal permite que atacantes sejam capazes de executar código arbitrário caso o CMS esteja configurado para permitir upload e processamento de arquivos com as extensões .tar, .tar.gz, .bz2, ou .tlz. Ao realizar o upload de arquivos maliciosos construídos com as extensões citadas, um atacante pode se utilizar da configuração de processamento destes para causar a execução de código arbitrário.


SISTEMAS IMPACTADOS

Drupal CMS


VERSÕES AFETADAS

 - - Drupal 9
 - - Drupal 8
 - - Drupal 7


CORREÇÕES DISPONÍVEIS

Atualizar a versão do Drupal CMS para a versão mais recente disponibilizada pelos desenvolvedores:
 - - 9.0 para 9.0.9
 - - 8.9 para 8.9.10
 - - 8.8 para 8.8.12
 - - 7 para 7.75

 - - Como solução de contorno - para casos onde a atualização não seja possível até a janela de manutenção da gestão de mudanças - é possível mitigar esta vulnerabilidade prevenindo o upload de arquivos .tar, .tar.gz, .bz2, ou .tlz por usuários não confiáveis.


IDENTIFICADORES CVE (http://cve.mitre.org)

 - - CVE-2020-28949
 - - CVE-2020-28948


MAIS INFORMAÇÕES
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28948
[2] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28949
[3] https://www.drupal.org/sa-core-2020-013
[4] https://nvd.nist.gov/vuln/detail/CVE-2020-28949
[5] https://meterpreter.org/cve-2020-28949-cve-2020-28948-drupal-arbitrary-php-code-execution-vulnerability-alert/

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=oBhP
-----END PGP SIGNATURE-----