ASA-2019-00014 – Drupal: Execução remota de código através de arquivo phar:// no pacote Archive_Tar

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00014

Identificador(es)

ASA-2019-00014, SA-CORE-2019-001, CVE-2019-6338

Título

Execução remota de código através de arquivo phar:// no pacote Archive_Tar

Fabricante(s)

Drupal

Produto(s)

Drupal

Versão(ões) afetada(s)

Drupal 8.6.x anterior a 8.6.6
Drupal 8.5.x anterior a 8.5.9
Drupal 7.x anterior a 7.62

Versão(ões) corrigida(s)

Drupal 8.6.6
Drupal 8.5.9
Drupal 7.62

Prova de conceito

Desconhecida

Descrição

O núcleo do Drupal usa a biblioteca PEAR Archive_Tar de terceiros. Esta biblioteca lançou uma atualização de segurança que afeta algumas configurações do Drupal.

Detalhes técnicos

Desconhecido

Créditos

Ayesh Karunaratne, farisv

Referência(s)

Drupal core – Critical – Third Party Libraries – SA-CORE-2019-001
https://www.drupal.org/sa-core-2019-001

Bug #23782 Prevent phar:// files from being extracted
https://pear.php.net/bugs/bug.php?id=23782

Security Vulnerability Announcement: Archive_Tar
http://blog.pear.php.net/2018/12/20/security-vulnerability-announcement-archive_tar/

CVE-2018-1000888
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000888

CVE-2018-1000888
https://nvd.nist.gov/vuln/detail/CVE-2018-1000888

CVE-2019-6338
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6338

CVE-2019-6338
https://nvd.nist.gov/vuln/detail/CVE-2019-6338

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 11 março 2019