Критический баг, связанный с обработкой архивов, исправлен в Drupal

Разработчики Drupal обновили свою CMS до версий 7.69, 8.7.11 и 8.8.1, в которых устранили несколько уязвимостей, включая критические.

Наиболее серьезная из проблем затрагивает Drupal 7.x, 8.7.x и 8.8.x и связана со сторонней библиотекой Archive_Tar — популярным инструментом, предназначенный для обработки архивных файлов TAR в PHP.

Около месяца тому назад разработчикам Archive_Tar посоветовали добавить опцию, которая позволяла бы пользователям запрещать символические ссылки, то есть файлы, содержащие ссылку на другой файл или папку. Дело в том, что симлинки могут использоваться злоумышленниками для записи произвольных данных и повышения привилегий. Разработчики Archive_Tar последовали этому совету, в начале декабря выпустив версию 1.4.9 и добавив возможность запрета символических ссылкок.

Так как Drupal использует Archive_Tar, разработчики CMS отмечают, что некоторые конфигурации CMS уязвимы перед подобными атаками (сайты подвергаются риску, если разрешена загрузка файлов TAR, TAR.GZ, BZ2 или TLZ, которые затем обрабатываются), поэтому они обновили библиотеку до версии 1.4.9. По словам специалистов, эксплоит для этой уязвимости уже существует и используется преступниками.

Другие три уязвимости, исправленные на этой неделе Drupal, затрагивают версии 8.7.x и 8.8.x, и все оцениваются как умеренно критические.

Одна из этих проблем может быть использована для провоцирования отказа в обслуживании (DoS). По словам разработчиков, доступ к install.php может привести к повреждению кэшированных данных, что выведет сайт из строя вплоть до восстановления кэша.

Другая уязвимость описана как проблема обхода доступа и связана с компонентом Media Library, который некорректно ограничивал доступ к элементам мультимедиа в определенных конфигурациях.

Третья проблема связана с тем, что функция file_save_upload () в Drupal 8 не способна удалять начальную и конечную точки из имен файлов, как это было в Drupal 7. В итоге злоумышленник, у которого есть доступ на загрузку файлов, получает возможность перезаписать произвольные системные файлы, к примеру, загрузив специально созданный файл .htaccess, чтобы обойти средства защиты.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы