Vulnerabilità nel Core Drupal – Rilasciato Avviso di Sicurezza

09/05/2019

CMS Drupal Vulnerabilità

 

Il team di sicurezza di Drupal ha emesso in data 8 maggio 2019 l’avviso di  sicurezza SA-CORE-2019-007 relativo ad una vulnerabilità classificata di livello “moderatamente critico” riguardante  il componente PharStreamWrapper nelle libreria di terze parti utilizzate dal Core Drupal. La stessa vulnerabilità è stata individuata anche nel CMS Joomla che fa uso della stessa libreria.

L’aggiornamento rilasciato da Drupal corregge le seguenti vulnerabilità

[SA-CORE-2019-007] – Drupal Core – Third Party Library

  • Impatto: Moderato
  • Gravità: Moderata
  • Tipo Exploit: Object Injection
  • Descrizione: La vulnerabilità relativa ad un problema di “deserializzazione” degli archivi Phar è stata risolta rimuovendo il vettore di attacco. Per intercettare le invocazioni dei file “file_exist” o “stat” sugli archivi Phar compromessi, il nome di base deve essere determinato e controllato prima di poter essere gestito dal Phar Stream Handling di PHP. L’implementazione utilizzata tuttavia risulta vulnerabile al path traversal che comporta scenari in cui l’archivio Phar da lavorare potrebbe non essere il file effettivo.

Remediation

  • Se si utilizza Drupal 8.7 eseguire l’aggiornamento alla versione di Drupal 8.7.1
  • Se si utilizza Drupal 8.6 o versioni precedenti, eseguire l’aggiornamento a Drupal 8.6.16.
  • Se si utilizza Drupal 7 eseguire l’aggiornamento a Drupal 7.67.

Le versioni minori di Drupal 8 precedenti alla 8.6.x non sono supportate e non ricevono più aggiornamenti di sicurezza.