-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Prezados,

O CAIS alerta para a recente vulnerabilidade encontrada no CMS Drupal 8 que permite burlar controles de acesso. Até o momento
da publicação deste alerta, não foram identificados códigos de exploração para as vulnerabilidades identificadas.


Descrição

Uma vulnerabilidade no controle de acesso de sites desenvolvidos no Drupal 8 pode possibilitar que um usuário malicioso
consiga acesso não autorizado ao sistema.

Para a exploração desta vulnerabilidade, devem existir as seguintes condições:
- - O módulo RESTful Web Services (rest) deve estar habilitado.
- - O sistema deve permitir o método de requisição PATCH.
- - Um usuário malicioso ter acesso a uma conta de usuário no site.


Sistemas impactados

Sistemas utilizando o Drupal 8.
* Versão 7.x do Drupal não são afetadas por esta vulnerabilidade.


Versões afetadas

Versão 8.2.7 e todas as versões anteriores subsequentes.
Versão 8.3.0.


Correções disponíveis

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores (8.2.8 e 8.3.1 no momento
da publicação deste alerta) ou a versão mais recente recomendada de acordo com o sistema operacional em uso.


Identificadores CVE (http://cvw.mitre.org)
Não disponível



Mais informações
https://www.drupal.org/SA-CORE-2017-002



O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas
versões e correções oferecidas pelos fabricantes.


Os alertas do CAIS também podem ser acompanahadas pelas redes sociais da RNP. Siga-nos!
Twitter: @RedeRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,

CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   http://www.rnp.br/cais/cais-pgp.key   #
################################################################


-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQCVAwUBWPkQuukli63F4U8VAQIwGQQAgvITqkgBt1X2grrJH//WAtSS0pRJ80Sf
Ep2qTNJc33rGiSZEFl7SCIMA2rohvIDBcJZqgpfdOJGjuCtAOW3djjDRKpkyhpMC
y6dPKrFpTrjHxvaJ3lckhApIur+SRhC5P4mY+U7ghWZJFdL5FQuilL1MQHFg8a0B
W3bsOgRYkgM=
=fGc9
-----END PGP SIGNATURE-----