CSIRT Panamá Aviso 2021-07-22 Drupal: Vulnerabilidad de librería Archive_Tar de PEAR en Drupal
Gravedad: Alta
Fecha de publicación: Julio 22, 2021
Última revisión: Julio 22, 2021
Sitio web: https://www.drupal.org/
Sistemas afectados: Librería Archive_Tar de Drupal.
I. Descripción
Drew Webber, del equipo de seguridad de Drupal, ha reportado una vulnerabilidad de severidad crítica, que podría permitir a un atacante utilizar la librería para extraer archivos que provengan de fuentes no confiables.
II. Impacto
Vulnerabilidad: CVE-2021-32610
Mediante la librería Archive_Tar de PEAR podría permitir a un atacante sobrescribir archivos arbitrarios en el sistema afectado mediante el envío de un archivo especialmente diseñado, debido a que la aplicación no comprueba si el fichero del archivo es un enlace simbólico al extraerlo.
III. Referencia a soluciones, herramientas e información
Actualizar a las versiones correspondientes de Drupal:
• Drupal 9.2, actualizar a Drupal 9.2.2;
• Drupal 9.1, actualizar a Drupal 9.1.11;
• Drupal 8.9, actualizar a Drupal 8.9.17;
• Drupal 7, actualizar a Drupal 7.82.
Las versiones de Drupal 8, anteriores a la 8.9.x, y de Drupal 9, anteriores a la 9.1.x, finalizan su ciclo de vida.
Pueden realizar esta actualización mediante el siguiente enlace: https://www.drupal.org/project/drupal/
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad de librería Archive_Tar de PEAR en Drupal. 22 de julio del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-libreria-archivetar-pear-drupal
- Drupal core – Critical – Drupal core – Critical – Third-party libraries – SA-CORE-2021-004. DRUPAL. 21 de julio del 2021. Recopilado en: https://www.drupal.org/sa-core-2021-004
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama