-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [23/02/2019]: Vulnerabilidades no CMS Drupal (CORE) - Atualização Prezados, O CAIS publicou no dia 22 de Fevereiro de 2019 um alerta sobre vulnerabilidades no CMS Drupal (CORE). A vulnerabilidade se refere à possibilidade de execução de código malicioso em alguns tipos de campo que não sanitizam adequadamente os dados de fontes que não são de formulários. DESCRIÇÃO Nessa atualização, salienta-se que a vulnerabilidade também pode ser explorada caso o módulo principal do Web Service RESTful esteja habilitado e permitindo requisições GET, anteriormente os desenvolvedores acreditavam que a vulnerabilidade só poderia ser explorada para requisições PATCH e POST. No momento da publicação deste alerta, foram identificados códigos de exploração para a vulnerabilidade identificada. SISTEMAS IMPACTADOS Sistemas utilizando Drupal. VERSÕES AFETADAS Versão 8.6.x e todas as versões anteriores. Versão 7 que utilizam os módulos RESTful e JSON:API. CORREÇÕES DISPONÍVEIS Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores - 8.6.10 para versões 8.6.x e 8.5.11 para versões 8.5.x e anteriores. Para sistemas que utilizam o Drupal 7, é suficiente atualizar as versões dos Web Services RESTful para a 7.x-2.8, JSON 1.x para a 8.x.1-25 e JSON 2.x para a 8.x-2.3. IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2019-6340 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6340 https://www.drupal.org/sa-core-2019-003 https://www.drupal.org/psa-2019-02-22 https://www.securityfocus.com/bid/107106/exploit https://www.drupal.org/project/restws https://www.drupal.org/project/restws/releases/7.x-2.8 https://www.drupal.org/project/jsonapi https://www.drupal.org/node/3034433 https://www.drupal.org/node/3034431 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS podem ser acompanhadas pelas redes sociais da RNP. Siga-nos! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v1.0.1 Comment: http://openpgpjs.org wsFcBAEBCAAQBQJcccKsCRB83qA0uPj0mAAA3RgP/3qGxn4S6YlNaTPRQeK3 QWEZgCyNpek8qVwVi2rw1w3MHirKNg4lk7COdj4hcf5gNBt7hrooo8xLhtmG 3KzWbiANIV7qXFdQ5m8cA3nDUqyNjWxECc/5iGTy5k/7q+XFKiuSOyDvPTaw 8MiWCIJI+AciDCsx6jFnUSV0fy0usyyDQ9R8p1Zx46gFiEO6kqBpNJHpKWG5 g9pZbkH3z0IdiX3PcS/01CvMaYegGrfLbALJXWc0CbUYc1ygVvq6QGHpaMi6 r3oG+d5XWnT6Myijljw1b8HlexkmF2IN/ttVSbVMJHUrDXXAIHsfWwUCMs9n BEytPh85JaAeiv/1N5yqN/rUWLZQvm+4j4+6fe9233dhEgBCjMeYNSGz3QVQ ASFB2YsT6C3OlZaR7zlxr22lfUXLCHGDxb0X8AR7vIRJZVuh/Dw4Xl24qxP/ mURYHtfey1Ld5M/+817zVn9Gv2ZWztPuEek8RggNsb/Ew+3yjBoz2BvRAoD5 T1g/z8BNOKaahjIpGZPQsev5FeH60AC2y8E8VqGJMyhkkAVD1lwVHV9ssMzo wP7tpXCraRTrzntDD2dFE2EDxV79jnsIZzZ7rMWjW9bxI1cv3NLo4HTwxw9k arNJ1t6OzBrZaJKgfeD+F3eKzTtypzGwJWe5C6gtK8i1gL1Fe3UMgTeH2Dq/ AQK6 =a6+N -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta