El equipo
de seguridad de Drupal ha publicado tres actualizaciones que corrigen múltiples
vulnerabilidades en las versiones 7 y 8., catalogadas de Importancia: 5 -
Crítica
Recursos afectados:
Drupal
versiones 7.x, 8.5.x y 8.6.x
Detalle de vulnerabilidades
Las
principales vulnerabilidades corregidas con estas actualizaciones son:
El núcleo
de Drupal utiliza la biblioteca PEAR Archive_Tar de terceros. Esta biblioteca
ha publicado una actualización de seguridad que afecta a algunas
configuraciones de Drupal. Se ha asignado el identificador CVE-2018-1000888
para esta vulnerabilidad.
Una
vulnerabilidad de ejecución de código remoto en el envoltorio integrado de phar
stream de PHP, cuando se realizan operaciones de archivo en un phar:// URI no
confiable, podría afectar a algunos códigos de Drupal (core, contrib y custom)
que estén realizando operaciones de ficheros con entradas de usuario con
validación incorrecta. Esta vulnerabilidad se ve mitigada por el hecho de que
tales rutas de código normalmente requieren acceso con permisos de
administrador o una configuración
atípica.
Recomendación
- Actualizar a Drupal 7.62,
8.5.9 o 8.6.6 en función de la versión utilizada.
- Las versiones de Drupal 8
anteriores a la 8.5.x están al final de su vida útil y no reciben
cobertura de seguridad.
Más información
·
Drupal core - Critical - Third Party Libraries -
SA-CORE-2019-001 https://www.drupal.org/sa-core-2019-001
·
Drupal core - Critical - Arbitrary PHP code
execution - SA-CORE-2019-002 https://www.drupal.org/sa-core-2019-002
Fuente:
INCIBE