-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [22/02/2019]: Vulnerabilidades no CMS Drupal (CORE) Prezados, O CAIS alerta para a recente vulnerabilidade crítica encontrada no CMS Drupal, que pode permitir execução de códigos maliciosos. Até o momento da publicação deste alerta, não foram identificados códigos de exploração para a vulnerabilidade identificada. DESCRIÇÃO A vulnerabilidade se refere à possibilidade de execução de código malicioso em alguns tipos de campo que não sanitizam adequadamente os dados de fontes que não são de formulários. Para que o ataque possa ser realizado, o módulo principal do Web Service RESTful deve estar habilitado e permitir requisições PATCH ou POST. A vulnerabilidade pode ser explorada em outros Web Services ativados, como o JSON:API. SISTEMAS IMPACTADOS Sistemas utilizando Drupal. VERSÕES AFETADAS Versão 8.6.x e todas as versões anteriores. Versão 7 que utilizam os módulos RESTful e JSON:API. CORREÇÕES DISPONÍVEIS Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores - 8.6.10 para versões 8.6.x e 8.5.11 para versões 8.5.x e anteriores. Para sistemas que utilizam o Drupal 7, é suficiente atualizar as versões dos Web Services RESTful para a 7.x-2.8, JSON 1.x para a 8.x.1-25 e JSON 2.x para a 8.x-2.3. IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2019-6340 MAIS INFORMAÇÕES https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6340 https://www.drupal.org/sa-core-2019-003 https://www.securityfocus.com/bid/107106/exploit https://www.drupal.org/project/restws https://www.drupal.org/project/restws/releases/7.x-2.8 https://www.drupal.org/project/jsonapi https://www.drupal.org/node/3034433 https://www.drupal.org/node/3034431 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v1.0.1 Comment: http://openpgpjs.org wsFcBAEBCAAQBQJccD98CRB83qA0uPj0mAAApBgP/jxXwkv3gkAjFgjOcaM4 KZgqNECPTzgMKdU/3+wJ//DQGxFhkDE8k5Wc14Utzwjz1TtXQIAtXbPmT2e/ +iQj98aKNyBe8dK0zqf1f9CF8+SFrMKifEdwdoeDMQG12LlMxC70tZQC6Hvf j29TeZ1+NcYgZ1ePdvoUUY28/vmdANEtBca3I1mFUzx9RmZhKjX9RoL8Ap34 30zwyK2dFO6Of/8zyG82FFAmSywXXMXMc4FM3HneyxFJbdlcvbV2xSbhU/B9 j4kWdsEsafB+LIyIftgPAorB8e56TxpjP2rjuvQYZiMHQzNYwZj1Q409Q3NU Zk+lHRRHPT1/YPMotODtzRetD9gqO1I9/snh6xDiYh+iB2zEbO7k9Je1FdqF +ryb33v9jjWq3e6WzWW+8kvMRY55EgAIO5+5oEfkk0x0B7rqj1oXHock4R6Z uQxQtqfWpRvfuE964hilhL/2WtNJppkYvpOq1ebuneri+NHUbTetgu5mrShl dyxV7i+sITceZFp9zsHGTY2bGOFsseRzXVhkM/p0kHfKyKNIZLkV5uwJdG9B KVPIHigEQTbjlyIeuR1dOZYTnWaepmKh3ypu1t99ddzEGPOXJ/F97Oxb087d x8OG0fk4vNk2i8y7Ma1dyejQVBkWBtb5e2PhW8Osv9q9w1i92+n/0TwMz6ik WCMI =qqeA -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta