Er zijn updates verschenen voor versies 7.6, 8.6 en 8.7 van Drupal, die een kwetsbaarheid met externe bibliotheken moeten verhelpen. Drupal is een in php geschreven, gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Het is eenvoudig genoeg voor een beginnende gebruiker, maar krachtig genoeg om ook een wat complexere website te bouwen. Het programma bevat een contentmanagementplatform en een development-framework. Meer informatie over de kwetsbaarheid kan hieronder worden gevonden:
Security risk: Moderately critical 14∕25 AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
Vulnerability: Third-party libraries
Description: This security release fixes third-party dependencies included in or required by Drupal core. As described in TYPO3-PSA-2019-007: By-passing protection of Phar Stream Wrapper Interceptor:In order to intercept file invocations like file_exists or stat on compromised Phar archives the base name has to be determined and checked before allowing to be handled by PHP Phar stream handling. [...]
The current implementation is vulnerable to path traversal leading to scenarios where the Phar archive to be assessed is not the actual (compromised) file.
Solution: Install the latest version:
- If you are using Drupal 8.7, update to Drupal 8.7.1
- If you are using Drupal 8.6 or earlier, update to Drupal 8.6.16.
- If you are using Drupal 7, update to Drupal 7.67.
Versions of Drupal 8 prior to 8.6.x are end-of-life and do not receive security coverage.
:strip_exif()/i/1306492847.png?f=thumbmedium)