-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 CAIS-Alerta [28/03/2018]: Vulnerabilidade no CMS Drupal (CORE) Prezados, O CAIS alerta para a recente vulnerabilidade encontrada no CMS Drupal que pode permitir execução arbitrária de código. Até o momento da publicação deste alerta, não foram identificados códigos de exploração para as vulnerabilidades identificadas. Descrição Uma vulnerabilidade de alta criticidade que pode permitir execução remota de código foi identificada em múltiplos subsistemas do CMS Drupal 7.x e 8.x possibilitando, potencialmente, que múltiplos vetores de ataque sejam explorados em um site executando o CMS Drupal, podendo resultar em comprometimento completo deste. Sistemas impactados Sistemas utilizando o CMS Drupal nas versões 8, 7 e 6. Versões afetadas Versão 7.57 e todas as versões anteriores subsequentes; Versão 8.4.5 e todas as versões anteriores subsequentes; Versão 8.3.8 e todas as versões anteriores subsequentes; * Obs.: As versões 8.3.x e 8.4.x não são mais oficialmente suportadas, contudo, os desenvolvedores também lançaram atualizações e hotfixes para estas versões (mais explicações a seguir). ** Obs: A versão LTS 6.x do Drupal também é afetada por esta vulnerabilidade. Correções disponíveis Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores ou a versão mais recente recomendada de acordo com o sistema operacional em uso. Hotfixes também foram disponibilizados para cada versão visando aqueles que não podem aplicar imediatamente a atualização completa. Atentem para as orientações no boletim em [1] e para o FAQ disponibilizado pelos desenvolvedores em [2]. Identificadores CVE (http://cve.mitre.org) CVE-2018-7600 Mais informações [1] https://www.drupal.org/sa-core-2018-002 [2] https://groups.drupal.org/security/faq-2018-002 [3] https://www.drupal.org/project/d6lts [4] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7600 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes/desenvolvedores. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCgAdFiEE04JqHmzxtIXrrCYafN6gNLj49JgFAlq8MkQACgkQfN6gNLj4 9JiBvw/+Kw3nImWBBePJPC8iaN30Y4l3RRlxdTZoBleYKxk3shhCP7dA/F7ei6tz 9y9sQRrsj7/TVCbzYALOdV/p5lmkNpzj+8gLM8dLx12IFLJFSb7CJi7wG9rYiX8r EYuzh7SCjOfPTRUKifQbR9Eqfs61Fg5rJeB1QJ+5Kw6OF+f/a8d28p6W3Vvrb2vX /y3s5C7SpP6GqeUVTbYPKBkdusf4ePQxXv74nb+CWjkhz8OHSMVYE4QpbTKgwfXY /kg5A54w0EjRJclB73eShX0RyPXoDZx3b0+gEpaEt/WcmRPEDmWvuyzNN9D6fcwc l6R4w97RR7twtJAM5+mcWHBRMBIdGG/gVZxn6y/qJaI/uMjaHUpU/X2h06u1kdlF NGS58yfW44kUISMLHn+rhwZFyftn6e1YAElLQ3iNpomcE3ZgWQqoY71N4zFKw2tx 11HEi7fJVJjSTxxMTpoV2oZKji3Cnb3IK6ZDw0r0NS73EQWaHbF0vBAdYTQU4UeX 1waIsgriKWO+bVngrqACXciWrYIsEe84TzWPXunT6Hvkkp2IBNVBA+5VhYBhtLiG CS2AXXrNYF9mSWzGlqFilbunQvpQgmagVYjs3cbQPO4pgCi5j93FuYqYkVJbHjTd D2W0cJ9Fn6/ENbdGdfSeu1MFY+9KzjXIbSNGZkvpiRY/wQiEt7w= =2LP5 -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta