Οι προγραμματιστές του συστήματος διαχείρισης περιεχομένου Drupal (CMS) κυκλοφόρησαν έκτακτες ενημερώσεις ασφαλείας λόγω της διαθεσιμότητας κάποιων exploits, που μπορούν να θέσουν σε κίνδυνο τα συστήματα.
Οι βασικές ενημερώσεις που κυκλοφόρησαν για τα Drupal 7, 8.8, 8.9 και 9.0 στις 25 Νοεμβρίου αντιμετωπίζουν δύο ευπάθειες που επηρεάζουν το PEAR Archive_Tar, μια third-party βιβλιοθήκη που έχει σχεδιαστεί για το χειρισμό αρχείων .tar στο PHP.
Οι ενημερώσεις διορθώνουν δύο ευπάθειες που έχουν ονομαστεί CVE-2020-28948 και CVE-2020-28949.
Η εκμετάλλευση περιλαμβάνει χειρισμό ονομάτων αρχείων και μπορεί να επιτρέψει σε έναν επιτιθέμενο να εκτελέσει κώδικα PHP ή να αντικαταστήσει αρχεία, συμπεριλαμβανομένων σημαντικών αρχείων όπως / etc / passwd και / etc / shadow.
 exploits, γι’ αυτό οι προγραμματιστές Drupal){kind=link}
Ο ερευνητής που ανέφερε τις ευπάθειες, δημοσίευσε και proof-of-concept (PoC) exploits, γι’ αυτό οι προγραμματιστές Drupal αποφάσισαν να κυκλοφορήσουν έκτακτες ενημερώσεις για τους χρήστες, για να τους προστατεύσουν από μια πιθανή επίθεση.
Σύμφωνα με το πρόγραμμα ενημερώσεων, το patch που κυκλοφόρησε στις 25 Νοεμβρίου δεν αποτελεί βασική ενημέρωση. Ωστόσο, ήταν απαραίτητο επειδή υπάρχουν γνωστά exploits που καθιστούν ορισμένες διαμορφώσεις του Drupal ευάλωτες σε επιθέσεις.
Οι προγραμματιστές Drupal επεσήμαναν ότι η εκμετάλλευση είναι δυνατή εάν το CMS έχει ρυθμιστεί ώστε να επιτρέπει τη μεταφόρτωση αρχείων .tar, .tar.gz, .bz2 ή .tlz. Πέρυσι, είχαν διορθωθεί παρόμοιες ευπάθειες που σχετίζονταν με την ίδια βιβλιοθήκη PEAR. Οι προγραμματιστές είπαν ότι οι τωρινές ευπάθειες δεν σχετίζονται με τις περσινές, αν και οι ίδιες αλλαγές στη διαμόρφωση μπορούν να μετριάσουν το ζήτημα. Μια από τις συμβουλές που δίνουν οι ειδικοί στους χρήστες, είναι να απαγορεύουν σε μη έμπιστους χρήστες να μεταφορτώνουν αρχεία με τις προαναφερθείσες επεκτάσεις.
Πρόκειται για την έκτη ενημέρωση ασφαλείας που κυκλοφορεί φέτος για το Drupal CMS. Το πέμπτο patch κυκλοφόρησε, επίσης, αυτό το μήνα για να διορθώσει μια ευπάθεια που επέτρεπε σε έναν επιτιθέμενο να εκτελέσει απομακρυσμένα κώδικα.
Πηγή: Security Week