SA-CORE-2021-004

Содержание
Редактировать эту страницу

Проект: Drupal Core
Дата публикации: 21 июля 2021
Риск безопасности: Критический. Critical 15∕25 AC:Complex/A:User/CI:All/II:All/E:Theoretical/TD:Uncommon
Уязвимость: Сторонние библиотеки.

Описание

Drupal ядро использует библиотеку PEAR Archive_Tar. Данная библиотека выпустила обновление безопасности которое также влияет на Drupal.

Уязвимость смягчается тем фактом, что использование библиотеки Archive_Tar ядром Drupal не является уязвимым, так как не разрешает символические ссылки.

Эксплуатация уязвимости возможна, если contrib или пользовательский код использует библиотеку для извлечения tar-архивов (например, .tar, .tar.gz, .bz2 или .tlz) из потенциально ненадежных источников.

Drupal Steward не покрывает данную проблему.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.17.
  • Если используете Drupal 9.1.x, обновитесь до Drupal 9.1.11.
  • Если используете Drupal 9.2.x, обновитесь до Drupal 9.2.2.

Ссылки

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества
Участники
Содержание