В Drupal закрыли опасную уязвимость
Новости Программы
Разработчики Drupal, популярной системы управления контентом (CMS), выпустили обновления 7.69, 8.7.11 и 8.8.1 для трех веток Drupal, содержащие патчи для нескольких уязвимостей, сообщает Threatpost.
Самая серьезная из этих уязвимостей была обнаружена в сторонней библиотеке Archive_Tar — CMS-система использует ее для архивирования файлов, содержимое которых требует интерпретации PHP.
Как отмечают эксперты, данная проблема представляет собой целый букет уязвимостей. Эксплуатация возможна лишь в том случае, когда настройки Drupal разрешают загрузку и обработку файлов в формате .tar, .tar.gz, .bz2 или .tlz.
Уязвимость обусловлена некорректной распаковкой архивов с символическими ссылками («симлинк»). Такая возможность позволяет перезаписать критически важные файлы на сервере, загрузив вредоносный tar-файл.
Использование симлинк для повышения привилегий в системе минувшим летом дважды продемонстрировал независимый исследователь Василий Кравец, а его коллега опубликовал свой PoC-код на GitHub. Разработчикам Archive_Tar посоветовали добавить опцию, позволяющую заблокировать обработку симлинк-файлов. Рекомендация была принята, и в начале декабря такая возможность появилась с выпуском версии 1.4.9 библиотеки.
Теперь это нововведение стало доступно и пользователям Drupal: разработчики CMS обновили Archive_Tar во всех поддерживаемых ветках (7.x, 8.7.x и 8.8.x).
|
29.11.2017 02:28
Что такое Portable-приложения
Софтодром рассказывает о том, что такое портативные приложения и в чем их преимущества перед непортативными
03.12.2017 01:04
Как скрыть папку на компьютере
Софтодром рассказывает о различных способах, которые позволяют скрыть папку или отдельные файлы в Windows
|
|
Все рубрики статей (1114 / 329):
|
|
