Разработчики Drupal анонсировали выпуск обновлений 7.69, 8.7.11 и 8.8.1, содержащих патчи для нескольких уязвимостей. Самая серьезная из них присутствует в сторонней библиотеке Archive_Tar — CMS-система использует ее для архивирования файлов, содержимое которых требует интерпретации PHP.

Согласно бюллетеню, данная проблема на самом деле представляет собой целый букет уязвимостей. Эксплуатация возможна лишь в том случае, когда настройки Drupal разрешают загрузку и обработку файлов в формате .tar, .tar.gz, .bz2 или .tlz.

Причиной появления уязвимости является некорректная распаковка архивов с символическими ссылками. Подобная возможность позволяет перезаписать критически важные файлы на сервере, загрузив вредоносный tar-файл.

Использование симлинков для повышения привилегий в системе минувшим летом дважды продемонстрировал независимый исследователь Василий Кравец, а его коллега опубликовал свой PoC-код на GitHub. В результате программист из ThinkShout Сэм Мортенсон (Sam Mortenson) посоветовал разработчикам Archive_Tar добавить опцию, позволяющую заблокировать обработку симлинк-файлов. Рекомендацию приняли, и в начале декабря такая возможность появилась с выпуском версии 1.4.9 библиотеки.

Теперь это новшество доступно и пользователям Drupal: разработчики CMS обновили Archive_Tar во всех поддерживаемых ветках (7.x, 8.7.x и 8.8.x). Стоит отметить, что аналогичную замену им пришлось произвести около года назад, чтобы оградить сайты от атак через другую уязвимость в той же библиотеке — CVE-2018-1000888.

Еще три проблемы, устраненные в Drupal, менее опасны и затрагивают только версию 8 ядра:

  • отказ в обслуживании через нарушение целостности содержимого кэша; в отсутствие патча риски можно снизить, заблокировав доступ к файлу install.php;
  • обход ограничений на доступ к медиафайлам; в качестве временной меры защиты предлагается отключить в настройках режим Advanced UI для модуля Media Library (возможно лишь в ветке 8.8.x);
  • обход средств защиты через загрузку файла, имя которого начинается с точки или оканчивается ею.

Категории: Уязвимости