Проект: Drupal Core
Дата публикации: 19 декабря 2019
Риск безопасности: Критический. 17/25 AC:Basic A:User CI:All II:All E:Proof TD:Uncommon
Уязвимость: Множественные уязвимости

Описание

Drupal использует стороннюю библиотеку Archive_Tar, для которой вышло обновление безопасности, которое может затронуть некоторые конфигурации Drupal.

Возможны множественные уязвимости если Drupal разрешено загружать и обрабатывать файлы .tar, .tar.gz, .bz2 или .tlz.

Drupal увеличивает версию зависимости до 1.4.9 где эта проблема решена.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.7.x, обновитесь до Drupal 8.7.11.
  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.1.

Альтернативно, вы можете защитить сайт сняв галочку "Включить расширенный UI" на /admin/config/media/media-library (данное решение не работает на 8.7.x).

Принимали участие

Сообщение об ошибке:

Исправление ошибки:

Смотрите также

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.