Проект: Drupal Core
Дата публикации: 25 ноября 2020
Риск безопасности: Критический. 18/25 AC:Complex A:User CI:All II:All E:Exploit TD:Uncommon
Уязвимость: Произвольное выполнение PHP-кода.

Описание

Drupal ядро использует библиотеку PEAR Archive_Tar. Данная библиотека выпустила обновления безопасности которые также влияют на Drupal. Для более подробной информации смотрите:

Доступны многочисленные уязвимости если Drupal настроен на загрузку и выполнение файлов с расширениями .tar, .tar.gz, .bz2 или .tlz.

Для устранения данной проблемы, убедитесь что возможность загрузки файлов .tar, .tar.gz, .bz2 и .tlz имеется только у доверенных пользователей.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.12.
  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.10.
  • Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.9.

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.