Vulnerabilità nel Core Drupal – Rilasciati due Avvisi di Sicurezza

18/04/2019

Drupal Vulnerabilità xss

Il team di sicurezza di Drupal ha emesso in data 17 aprile 2019 gli avvisi di sicurezza SA-CORE-2019-005 e SA-CORE-2019-006 relativi a due vulnerabilità classificate di livello “moderatamente critiche” riscontrate sulle versioni del CMS Drupal 7.x e 8.x.

L’aggiornamento rilasciato da Drupal corregge le seguenti vulnerabilità

“Cross Site Scripting”

La vulnerabilità XSS riguarda le librerie jQuery (versioni inferiori alla 3.4.0), in particolare il comportamento inatteso della chiamata jQuery.extend(true, {}, …). Vista la possibilità di sfruttamento di tale vulnerabilità, il team di Drupal ha deciso, a scopo cautelativo, di risolvere la problematica con un fix senza aggiornare la versione di JQuery (attualmente 3.2.1 in Drupal 8 e 1.4.4 in Drupal 7)


“Escape validation messages in the PHP templating engine”

La vulnerabilità, classificata con CVE-2019-10909, riguarda un possibile XSS che può verificarsi a causa di un’errata gestione degli input dell’utente privo di escaping all’interno delle form del template engine di Drupal.


“Check service IDs are valid”

La vulnerabilità, classificata con CVE-2019-10910, riguarda un errato controllo dell’input utente che potrebbe permettere l’esecuzione arbitraria di codice remoto.


“Add a separator in the remember me cookie hash”

La vulnerabilità, classificata con CVE-2019-10911, risolve la modalità non corretta con cui venivano generati i cookie. All’interno dei cookie sarebbe infatti  possibile riconoscere parte dello username attraverso parte del tempo di scadenza (expire time). L’attaccante potrebbe modificare un cookie e autenticarsi con un utente diverso. La vulnerabilità è sfruttabile solo se  la funzionalità “remember me” è abilitata e due utenti condividono l’hash delle password o gli hash delle password sono NULL per tutti gli utenti (situazione possibile solo in caso di autenticazione tramite sistemi esterni).


Remediation

  • Se si utilizza Drupal 8.6 eseguire l’aggiornamento alla versione di Drupal 8.6.15.
  • Se si utilizza Drupal 8.5 o versioni precedenti, eseguire l’aggiornamento a Drupal 8.5.15.
  • Se si utilizza Drupal 7 eseguire l’aggiornamento a Drupal 7.66.

Le versioni minori di Drupal 8 precedenti alla 8.5.x non sono supportate e non ricevono più aggiornamenti di sicurezza, quindi i siti con versioni precedenti devono essere aggiornati immediatamente alla versione 8.5.x sopra riportata. Le versioni 8.5.x riceveranno aggiornamenti di sicurezza fino a maggio 2019.