ASA-2019-00014 – Drupal: Execução remota de código através de arquivo phar:// no pacote Archive_Tar

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00014

Identificador(es)

ASA-2019-00014, SA-CORE-2019-001, CVE-2019-6338

Título

Execução remota de código através de arquivo phar:// no pacote Archive_Tar

Fabricante(s)

Drupal

Produto(s)

Drupal

Versão(ões) afetada(s)

Drupal 8.6.x anterior a 8.6.6
Drupal 8.5.x anterior a 8.5.9
Drupal 7.x anterior a 7.62

Versão(ões) corrigida(s)

Drupal 8.6.6
Drupal 8.5.9
Drupal 7.62

Prova de conceito

Desconhecida

Descrição

O núcleo do Drupal usa a biblioteca PEAR Archive_Tar de terceiros. Esta biblioteca lançou uma atualização de segurança que afeta algumas configurações do Drupal.

Detalhes técnicos

Desconhecido

Créditos

Ayesh Karunaratne, farisv

Referência(s)

Drupal core – Critical – Third Party Libraries – SA-CORE-2019-001
https://www.drupal.org/sa-core-2019-001

Bug #23782 Prevent phar:// files from being extracted
https://pear.php.net/bugs/bug.php?id=23782

Security Vulnerability Announcement: Archive_Tar
http://blog.pear.php.net/2018/12/20/security-vulnerability-announcement-archive_tar/

CVE-2018-1000888
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000888

CVE-2018-1000888
https://nvd.nist.gov/vuln/detail/CVE-2018-1000888

CVE-2019-6338
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6338

CVE-2019-6338
https://nvd.nist.gov/vuln/detail/CVE-2019-6338

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.