Drupal 修复 Pear Archive_Tar 第三方库中的 CVE-2020-36193 漏洞

Andrew 2021-01-22
专栏 - 资讯 发布于 2021-01-22 17:37:59 阅读 94 评论 0

Drupal开发团队已经发布了安全更新,以解决PEAR Archive_Tar第三方库中的CVE-2020-36193漏洞。

该PEAR的Archive_Tar类提供处理的PHP tar文件。它支持创建,列出,提取和添加到tar文件。

开发人员发布了流行CMS的9.1、9.0、8.9和7版本的核心补丁。

CVE-2020-36193漏洞是由符号链接检查不当引起的,导致Archive_Tar中的Tar.php允许使用目录遍历进行写操作。

“Drupal项目使用PEAR Archive_Tar库,该库发布了影响Drupal的安全更新。” 阅读咨询。

如果CMS配置为允许上载和处理.tar,.tar.gz,.bz2或.tlz文件,则攻击者可以利用此漏洞。

该漏洞通过1.4.11版本影响的Archive_Tar,这个问题被固定通过禁止符号链接外的路径文件名。

根据Drupal发布的公告,可以通过禁用.tar,.tar.gz,.bz2或.tlz文件的上传来缓解此漏洞。

开发团队建议安装最新版本

  • 如果您使用的是9.1版,请更新至Drupal 9.1.3。
  • 如果您使用的是9.0版,请更新至Drupal 9.0.11。
  • 如果您使用的是8.9版,请更新至8.9.13。
  • 如果您使用的是版本7,请更新为7.78。

8.9.x之前的Drupal 8版本已经停产,并且没有获得安全保障。

在CVE-2020-36193漏洞被链接到CVE-2020-28948是于11月固定由开发商与发布漏洞紧急安全更新。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!