Tento týden vyšly opravené verze redakčních systémů Drupal 7, Drupal 8, Drupal 9 a reaguje také Backdrop. Knihovna Archive_Tar, kterou tyto projekty používají, totiž trpí zranitelností. Podobně jako loni.
V případě, že máte svůj web nakonfigurovaný tak, aby souborová políčka umožňovala uživatelům nahrávání souborů typu .tar, .tar.gz, .bz2, nebo.tlz, mohlo by to zabezpečení vašeho webu ohrozit. Řešením je tedy aktualizace na novější verzi redakčního systému, který už má opravu Archive_Tar implementovanou.
Opravy pro Drupal
S tím, kolik verzí Drupal momentálně udržuje, nám tak vzniká slušná řádka nových vydání:
Backdrop si na opravu týden počká
Podobné opravy řeší i fork Drupalu Backdrop, který v reakci na bezpečnostní problém nachytá dvojici opravených verzí:
- Backdrop 1.18.1
- Backdrop 1.17.6
Vzhledem k nedávnému vydání Backdrop 1.18.0 se tým rozhodl opravu o týden odložit, protože není pravděpodobné, že byste zmíněné typy souborů měli pro upload povolené. Pokud ano, tak jejich použití na webu dočasně vypněte.
Zdroj: Drupal core - Critical - Third-party libraries - SA-CORE-2021-001, CVE-2020-36193, Corresponding security release for Drupal SA-CORE-2021-001 postponed