-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [27/07/2021]: Vulnerabilidade crítica no Drupal core decorrente da biblioteca Archive_Tar Prezados, O CAIS alerta para vulnerabilidade recente envolvendo uma biblioteca de terceiros no Drupal core. Até o momento da publicação deste alerta já foram identificados códigos de exploração para a vulnerabilidade em questão. Descrição Uma atualização recente da biblioteca Archive_Tar, incluída no pacote Drupal core, corrige uma vulnerabilidade que pode ser explorada quando a biblioteca for utilizada para extração de arquivos .tar (.tar, .tar.gz, .bz2 ou .tlz) oriundos de uma fonte não confiável. A biblioteca não valida corretamente a presença de links simbólicos durante a extração, permitindo que terceiros substituam arquivos arbitrários e comprometam o sistema afetado. De acordo com o alerta do Drupal, o core por si só não é vulnerável, pois não permite links simbólicos em sua utilização da biblioteca. Contudo, módulos contrib ou outros códigos personalizados poderiam utilizar esta funcionalidade da biblioteca, expondo o sistema. Sistemas impactados Drupal Core Archive_Tar (biblioteca PHP PEAR) Versões afetadas Drupal 7.81, 8.9.16, 9.1.10, 9.2.1 e versões anteriores Archive_Tar 1.4.13 e versões anteriores Versões do Drupal anteriores a 8.9.x, e anteriores a 9.1.x não recebem cobertura de segurança. Correções disponíveis Atualizar os softwares para as versões mais atualizadas, disponibilizadas pelo próprio projeto Drupal core. Em ambientes que utilizem as bibliotecas PHP PEAR, também deve ser instalada a versão mais recente da biblioteca Archive_Tar. Identificadores CVE (http://cve.mitre.org) CVE-2021-32610 Mais informações https://www.drupal.org/sa-core-2021-004 https://pear.php.net/package/Archive_Tar/ O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJhADa/CRDU96v9U5pXgAAAq4YP/3100xUPvxYviiocEjyA LEFqHyvyCEiT0IvB9PwYCzmOHA+xXFU1ErBB0ij4WxqVJNQ5p+/H6/jkl7KA HZ8Ogiqx4U5Ed0PlyaiUuXvsNAhNAAMQdXi45DnlbeNSBOemQB+LLiwbUIvt d93iCSsGxH5+BMyd4DWYLwZLRe92yw+tMBzWw5PkB7LnFB3/9gdL3jXjla8m Fo2wqPdcNLEKC48PLETvpfBGoecekYL3QqYAQQ3O3TFAHSAhRuY0BmRe32hP ExPThglpy7YUMGYGUdbj0p1SfQU5/8aRqExwz0O79LjuLlQ3NhsQeVP84jK0 nAFctIoyjRSIuBewK8obpzWIJmON+Fh4PPBjXB95caUkOaFVJZ26YGs1WZL0 ZC78GtI/GPmwMBoACTp8plepiT7GytUO8wSfzOMcikfmkw4lzOugIHkBjwFe XRYe0c3IDclWVhKgdWb/BFSSQlB4d4BD60Cqh++4lg4GE4X43bt7sSBlp8K/ K/SxZoivDcXRNrLpy/L++t2wGTwHGsqu8DZfLBxufBF8zoeBFsVLf5bQIp6N JLrXrz35q/dqYeih9L+447nv0775Y/20kDwLTu5Nsrnm2ltzqzbzjfJm4Vej wisdjaVpHvh6q19A0C2nXymD4i0EfFOh4AubuuJUdi72lXWGobiGzR1LC3Rt bUGC =ijMJ -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br https://listas.rnp.br/mailman/listinfo/rnp-alerta