CSIRT Panamá Aviso 2021-25-01 Drupal: Mitigaciones obtenidas de Drupal.
Gravedad: Alta
Fecha de publicación: Enero 25,
2021
Última revisión: Enero 25, 2021
Portal: https://www.drupal.org/
Sistemas Afectados: Vulnerabilidades que afectan a los sistemas Drupal que usan librerías de Archive_Tar.
- Descripción
Vulnerabilidades que afectan a los sistemas Drupal que usan Archive_Tar, en las versiones de la 0.3 a la 1.4.11.
- Impacto
Vulnerabilidad: CVE-2020-36193
La vulnerabilidad CVE-2020-36193 existe debido a un enlace simbólico con problemas para acceder al archivo tar.php en Archive_Tar, un atacante remoto podría entregar un archivo especialmente diseñado a la aplicación Drupal para forzarla a escribir archivos arbitrarios en el sistema utilizando secuencias de directorio transversal.
III. Referencia a soluciones, herramientas e información
Actualización de los recursos Drupal el siguiente enlace:
- Drupal 9.1, actualizar a Drupal 9.1.3.
- Drupal 9.0, actualizar a Drupal 9.0.11.
- Drupal 8.9, actualizar a Drupal 8.9.13.
- Drupal 7, actualizar a Drupal 7.78.
Las versiones de Drupal 8 anteriores a la 8.9.x están al final de su vida útil (end-of-life) y no reciben cobertura de seguridad.
Inhabilitar cargas de tar, .tar.gz, .bz2, or .tlz archivos para mitigar la vulnerabilidad.
Fuentes:
- Drupal. Security advisories. Drupal core – Critical – Third-party libraries – SA-CORE-2021-001. 20 de enero del 2021. Recopilado en: https://www.drupal.org/sa-core-2021-001
- Common Vulnerabilities and Exposures. Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36193
- CSIRT Chile. 22 de enero del 2021. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa21-00371-01/
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion
Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124