Проект: Drupal Core
Дата публикации: 19 декабря 2019
Риск безопасности: Критический. 17/25 AC:Basic A:User CI:All II:All E:Proof TD:Uncommon
Уязвимость: Множественные уязвимости
¶Описание
Drupal использует стороннюю библиотеку Archive_Tar, для которой вышло обновление безопасности, которое может затронуть некоторые конфигурации Drupal.
Возможны множественные уязвимости если Drupal разрешено загружать и обрабатывать файлы .tar, .tar.gz, .bz2 или .tlz.
Drupal увеличивает версию зависимости до 1.4.9 где эта проблема решена.
¶Решение
Обновиться до актуальных версий:
- Если используете Drupal 8.7.x, обновитесь до Drupal 8.7.11.
- Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.1.
Альтернативно, вы можете защитить сайт сняв галочку "Включить расширенный UI" на /admin/config/media/media-library (данное решение не работает на 8.7.x).
¶Принимали участие
Сообщение об ошибке:
Исправление ошибки:
- Lee Rowlands из Drupal Security Team
- Peter Wolanin из Drupal Security Team
- Sam Becker
- Jasper Mattsson
- David Rothstein из Drupal Security Team
- michieltcs
- Ayesh Karunaratne
- Alex Pott из Drupal Security Team
- Jess из Drupal Security Team
- Samuel Mortenson
- Vijaya Chandran Mani
- Drew Webber
¶Смотрите также
¶Ссылки
- SA-CORE-2019-012 (англ.), drupal.org, 19 декабря 2019
