Софтодром   

В Drupal закрыли опасную уязвимость



Новости    Программы



Разработчики Drupal, популярной системы управления контентом (CMS), выпустили обновления 7.69, 8.7.11 и 8.8.1 для трех веток Drupal, содержащие патчи для нескольких уязвимостей, сообщает Threatpost.

Самая серьезная из этих уязвимостей была обнаружена в сторонней библиотеке Archive_Tar — CMS-система использует ее для архивирования файлов, содержимое которых требует интерпретации PHP.

Как отмечают эксперты, данная проблема представляет собой целый букет уязвимостей. Эксплуатация возможна лишь в том случае, когда настройки Drupal разрешают загрузку и обработку файлов в формате .tar, .tar.gz, .bz2 или .tlz.

Уязвимость обусловлена некорректной распаковкой архивов с символическими ссылками («симлинк»). Такая возможность позволяет перезаписать критически важные файлы на сервере, загрузив вредоносный tar-файл.

Использование симлинк для повышения привилегий в системе минувшим летом дважды продемонстрировал независимый исследователь Василий Кравец, а его коллега опубликовал свой PoC-код на GitHub. Разработчикам Archive_Tar посоветовали добавить опцию, позволяющую заблокировать обработку симлинк-файлов. Рекомендация была принята, и в начале декабря такая возможность появилась с выпуском версии 1.4.9 библиотеки.

Теперь это нововведение стало доступно и пользователям Drupal: разработчики CMS обновили Archive_Tar во всех поддерживаемых ветках (7.x, 8.7.x и 8.8.x).




Автор: Softodrom.ru
Дата:

Новое: Программы
28.04.2025 15:20

Яндекс Браузер научился передавать оригинальные голоса и интонации при переводе видео

Благодаря использованию нейросетей Яндекс Браузер теперь умеет передавать оригинальные голоса и интонации при переводе видео


26.04.2025 17:45

В Yahoo заявили о готовности купить браузер Google Chrome

Ранее о своей заинтересованности в покупке браузера Google Chrome также заявила компания OpenAI, разработчик ChatGPT


24.04.2025 13:47

Минцифры заявило об ужесточении работы с мессенджерами

Запрещать мессенджеры в России не планируется, однако ужесточение работы с ними уже началось, рассказал глава Минцифры Максут Шадаев


23.04.2025 15:57

Разработчик ChatGPT может купить браузер Google Chrome

Минюст США рекомендовал Google продать браузер Chrome для урегулирования дела, в рамках которого суд признал компанию монополистом в сфере поисковых технологий


23.04.2025 13:07

Разработчикам приложений для ОС Аврора стал доступен сервис VK по сбору и анализу ошибок

С помощью бесплатного инструмента Tracer разработчики приложений на ОС Аврора смогут отслеживать ошибки в режиме реального времени и оперативно устранять неисправности


Популярное: Программы
26.11.2017 04:13

Программы или приложения: как правильно?

Софтодром решил вспомнить те вышедшие из употребления слова, которые имеют отношение к информационным технологиям


29.11.2017 02:28

Что такое Portable-приложения

Софтодром рассказывает о том, что такое портативные приложения и в чем их преимущества перед непортативными


03.12.2017 01:04

Как скрыть папку на компьютере

Софтодром рассказывает о различных способах, которые позволяют скрыть папку или отдельные файлы в Windows


22.10.2023 21:43

Топ-20 лучших бесплатных программ для компьютера на Windows

Софтодром представляет подборку из 20 лучших бесплатных программ для компьютера на Windows в различных категориях


25.11.2017 23:25

Чем бесплатные программы отличаются от бесплатных программ

Софтодром попытался разобраться, почему некоторые бесплатные программы бесплатнее, чем другие, и существуют ли вообще бесплатные программы


Все рубрики статей (1114 / 329):


Программы | Рейтинги | Статистика | Авторам | Рассылки
Copyright © 1999-2025 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта