Vulnerabilità nel Core Drupal – Rilasciati due Avvisi di Sicurezza

17/01/2019

CMS Drupal

Il team di sicurezza di Drupal ha emesso in data 16 Gennaio 2019 gli avvisi di sicurezza SA-CORE-2019-001SA-CORE-2019-002 relativi a due vulnerabilità classificate di livello “Critico”  riscontrate sulle versioni del CMS Drupal 7.x e 8.x.

L’aggiornamento rilasciato da Drupal corregge le seguenti vulnerabilità:

Third Party Libraries

Drupal core utilizza la libreria PEAR Archive_Tar di terze parti per la gestione di file .tar in PHP. Lo sfruttamento di questa falla , che coinvolge il wrapper phar e un file .tar appositamente predisposto, può comportare la cancellazione arbitraria di file ed eventualmente l’esecuzione di codice in modalità remota. Gli sviluppatori di Archive_Tar hanno corretto la vulnerabilità (CVE-2018-1000888) e la libreria è stata aggiornata nel core Drupal per prevenire lo sfruttamento.


Esecuzione Arbitraria di codice PHP

La vulnerabilità è stata descritta come una debolezza che consente l’esecuzione remota di codice PHP arbitrario. Il problema è legato al wrapper phar stream integrato in PHP e al modo in cui gestisce gli URI phar:// non attendibili. Alcuni codici Drupal (core, contrib e custom) potrebbero eseguire quindi operazioni sui file con input utente validati in modo insufficiente, quindi esposti a questa vulnerabilità. Questa vulnerabilità è mitigata dal fatto che tali percorsi di codice in genere richiedono l’acesso a permessi amministrativi o a una configurazione atipica.

Per risolvere la vulnerabilità, gli sviluppatori del (CMS) hanno deciso di aggiungere l’estensione .phar all’elenco delle estensioni pericolose. Di conseguenza, tutti i file .phar caricati su Drupal verranno automaticamente convertiti in .txt per impedirne l’esecuzione. Inoltre, Drupal ha deciso di disabilitare il wrapper phar:// sui siti di Drupal 7 che eseguono una versione di PHP precedente alla 5.3.3. Il wrapper può essere riattivato manualmente per le versioni precedenti di PHP, ma anche questo reintroduce la vulnerabilità, motivo per cui gli utenti sono stati invitati a considerare l’aggiornamento della loro versione di PHP.


Remediation

Aggiornare alla versione più recente di Drupal 7 o 8 core.

  • Se si esegue 7.x, eseguire l’aggiornamento a Drupal 7.62.
  • Se si esegue 8.6.x, eseguire l’aggiornamento a Drupal 8.6.6.
  • Se si esegue 8.5.x o precedente, eseguire l’aggiornamento a Drupal 8.5.9.

Le versioni minori di Drupal 8 precedenti alla 8.5.x non sono supportate e non ricevono aggiornamenti di sicurezza, quindi i siti con versioni precedenti devono essere aggiornati immediatamente alla versione 8.5.x sopra riportata. Le versioni 8.5.x riceveranno aggiornamenti di sicurezza fino a maggio 2019.

Taggato  CMS Drupal