For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00014
Identificador(es)
ASA-2019-00014, SA-CORE-2019-001, CVE-2019-6338
Título
Execução remota de código através de arquivo phar:// no pacote Archive_Tar
Fabricante(s)
Drupal
Produto(s)
Drupal
Versão(ões) afetada(s)
Drupal 8.6.x anterior a 8.6.6
Drupal 8.5.x anterior a 8.5.9
Drupal 7.x anterior a 7.62
Versão(ões) corrigida(s)
Drupal 8.6.6
Drupal 8.5.9
Drupal 7.62
Prova de conceito
Desconhecida
Descrição
O núcleo do Drupal usa a biblioteca PEAR Archive_Tar de terceiros. Esta biblioteca lançou uma atualização de segurança que afeta algumas configurações do Drupal.
Detalhes técnicos
Desconhecido
Créditos
Ayesh Karunaratne, farisv
Referência(s)
Drupal core – Critical – Third Party Libraries – SA-CORE-2019-001
https://www.drupal.org/sa-core-2019-001
Bug #23782 Prevent phar:// files from being extracted
https://pear.php.net/bugs/bug.php?id=23782
Security Vulnerability Announcement: Archive_Tar
http://blog.pear.php.net/2018/12/20/security-vulnerability-announcement-archive_tar/
CVE-2018-1000888
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000888
CVE-2018-1000888
https://nvd.nist.gov/vuln/detail/CVE-2018-1000888
CVE-2019-6338
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6338
CVE-2019-6338
https://nvd.nist.gov/vuln/detail/CVE-2019-6338
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 11 março 2019