-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 CAIS-Alerta [21/01/2021]: Vulnerabilidade no CMS Drupal Prezados, O CAIS alerta para uma vulnerabilidade crítica do CMS Drupal que pode permitir execução de códigos arbitrários. O problema é semelhante a falha divulgada em novembro/2020. Até o momento dessa publicação não foram encontrados relatos da exploração da vulnerabilidade. DESCRIÇÃO Uma falha na biblioteca Archive_Tar utilizada pelo Drupal permite que atacantes sejam capazes de executar códigos arbitrários caso o CMS esteja configurado para permitir upload e processamento de arquivos com as extensões ".tar", ".tar.gz", ".bz2" ou ".tlz". SISTEMAS IMPACTADOS CMS Drupal (CORE) VERSÕES AFETADAS - - Drupal 9 - - Drupal 8 - - Drupal 7 CORREÇÕES DISPONÍVEIS Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores e/ou de acordo com seu sistema em uso. No momento da publicação deste alerta as versões recomendas pelo time do Drupal são: - - Drupal 9.1.3 - - Drupal 9.0.11 - - Drupal 8.9.13 - - Drupal 7.78 Como solução de contorno, é possível mitigar esta vulnerabilidade desativando a função de upload de arquivos com as extensões informadas neste documento. IDENTIFICADORES CVE (http://cve.mitre.org) - - CVE-2020-36193 MAIS INFORMAÇÕES [1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36193 [2] https://www.drupal.org/sa-core-2021-001 [3] https://nvd.nist.gov/vuln/detail/CVE-2020-36193 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br https://www.rnp.br/sistema-rnp/cais # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCgAdFiEE04JqHmzxtIXrrCYafN6gNLj49JgFAmAJl8kACgkQfN6gNLj4 9JjTvQ/9GW81n23yUWFknRiN+kPXGsb64V+yFs0AZweQ3xQuu4kzPg/zXG3x0o0k b0CW14hhRcroZnmGy6tcBIcUWIFaYL2PO0Q+CWT72M/tYrFn0McIgaBmXuJjOZjf /Xd9GKWMNO4M6knq9R5C4IKSv+VuMlC05hp5M2BC2K6JtJyi2HZmmpkplkm3Bs5W hr4YaWobJlOXtwV7jUpTgJDzI26VGnhveM9pBesC37pSB9PwXbB/jEwbk/GDYJhT F4fPJrZN8sPQHFDlDVaewpyCxVLywUeXaxgBe5rcdGRjq21x/7hBP+7sR7cI18Lx 5W2ZWfVutVOtl3h4+JnCMSFmBWuusrzOduxRWXlevgbbFIGbJGmNhpbk8f5gNIrd 4JLO1uknh/g1hmJKKUx/rnMk4dVHG/TAijPKlI6iwt4VWtcv04Q1A5Ghg3vtSBlF GRWUiLgrX2GeexPpDY8fFETRleay+uLaiP+iRrOSKzbsxNfO9/B4xerq4SqO3cDy /U9mrShjnX+wD3kM25N88EpmnfD6TBdGwtzFj2yBGABG81iM3201zBmlSX/R6Zht PcnGvIjRu8b6b9lWDJXIJ9eYzca3ujvLRx3d5fVlsUDdozm87M+alBI6uvA8oMhe NYCJ12u7/bkGN2k4lvkTTA16c6tz0qfIZP7+bkbfG+eRRMCxR30= =Nc9l -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br https://listas.rnp.br/mailman/listinfo/rnp-alerta