-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512


CAIS-Alerta [21/01/2021]: Vulnerabilidade no CMS Drupal


Prezados,

O CAIS alerta para uma vulnerabilidade crítica do CMS Drupal que pode permitir execução de códigos arbitrários. O problema é semelhante a falha divulgada em novembro/2020. Até o momento dessa publicação não foram encontrados relatos da exploração da vulnerabilidade.


DESCRIÇÃO

Uma falha na biblioteca Archive_Tar utilizada pelo Drupal permite que atacantes sejam capazes de executar códigos arbitrários caso o CMS esteja configurado para permitir upload e processamento de arquivos com as extensões ".tar", ".tar.gz", ".bz2" ou ".tlz".


SISTEMAS IMPACTADOS

CMS Drupal (CORE)


VERSÕES AFETADAS

- - Drupal 9
- - Drupal 8
- - Drupal 7


CORREÇÕES DISPONÍVEIS

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores e/ou de acordo com seu sistema em uso. No momento da publicação deste alerta as versões recomendas pelo time do Drupal são:
- - Drupal 9.1.3
- - Drupal 9.0.11
- - Drupal 8.9.13
- - Drupal 7.78

Como solução de contorno, é possível mitigar esta vulnerabilidade desativando a função de upload de arquivos com as extensões informadas neste documento.


IDENTIFICADORES CVE (http://cve.mitre.org)

- - CVE-2020-36193


MAIS INFORMAÇÕES
[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36193
[2] https://www.drupal.org/sa-core-2021-001
[3] https://nvd.nist.gov/vuln/detail/CVE-2020-36193


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,


CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################

-----BEGIN PGP SIGNATURE-----
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=Nc9l
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta@listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta