-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

CAIS-Alerta [22/06/2017]: Vulnerabilidade no Core do Drupal

Prezados,

O CAIS alerta para a recente vulnerabilidade encontrada no CMS Drupal, que pode permitir execução remota de código. Até o
momento da publicação deste alerta, não foram identificados códigos de exploração para a vulnerabilidade identificada.


Descrição

O parser PECL::YAML não trata objetos PHP de forma segura durante certas operações com o Drupal, podendo permitir a um
usuário malicioso executar códigos maliciosos remotamente.


Sistemas impactados

Sistemas utilizando o Drupal 7.
Sistemas utilizando o Drupal 8.


Versões afetadas

Versão 7.55 e todas as versões anteriores subsequentes.
Versão 8.3.3 e todas as versões anteriores subsequentes.



Correções disponíveis

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores (7.56 e 8.3.4 no momento da
publicação deste alerta) ou a versão mais recente recomendada de acordo com o sistema operacional em uso.



Identificadores CVE (http://cvw.mitre.org)

CVE-2017-6920


Mais informações

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-6920
https://www.drupal.org/SA-CORE-2017-003
https://pecl.php.net/package/yaml



O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas
versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanahadas pelas redes sociais da RNP. Siga-nos!
Twitter: @RedeRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQCVAwUBWUwiZOkli63F4U8VAQKwpQP9FqmN6vqsnppToBvEkbHU5ZZgEyH6tGw8
WYndJcG7arRENGZ3nIGR38cSlAlQXWHd8P+POAGpNN/IK8wL1ax6+5I+8SVQnvjY
JyLWORMgm2Du4SV6d2LhFAbvg9AMDZYQY/kJOWj/TseqoKES5slimX6Uz98fxQpj
2h6G3AsXlYw=
=NrYh
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta@listas.rnp.br
http://listas.rnp.br/mailman/listinfo/rnp-alerta