CSIRT Panamá Aviso 2018-08-03 Bibliotecas de terceros -SA-CORE-2018-005.
Gravedad: Alta
Fecha de publicación: Agosto 02, 2018
Fecha de modificación: Agosto 02, 2018
Última revisión: 1.0
https://www.drupal.org/SA-CORE-2018-005
Sistemas Afectados:
8.x versiones anteriores a 8.5.6.
I. Descripción:
El proyecto Drupal usa la biblioteca de Symfony. La biblioteca de Symfony ha lanzado una actualización de seguridad que afecta a Drupal. Consulte el aviso de seguridad de Symfony para el problema.
La misma vulnerabilidad también existe en las bibliotecas Zend Feed y Diactoros incluidas en Drupal core; sin embargo, el núcleo de Drupal no usa la funcionalidad vulnerable. Si su sitio o módulo usa Zend Feed o Diactoros directamente, lea el aviso de seguridad de Zend Framework y la actualización o parche según sea necesario.
II. Impacto
Permite a los usuarios anulan la ruta en la URL de solicitud a través de la X-Original-URLo X-Rewrite-URLencabezado de solicitud HTTP permite al usuario acceder a una URL, pero han Symfony devolver una diferente que puede pasar por alto las restricciones a las cachés de nivel superior y los servidores web.
III. Referencia a soluciones, herramientas e información
Se recomienda actualizar a Drupal 8.5.6.
https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers
https://framework.zend.com/security/advisory/ZF2018-01
IV. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124