Критические обновления Drupal 7 и Drupal 8 (SA-CORE-2019-007)

Аватар пользователя drupal.ru drupal.ru 8 мая в 20:54
1

Насколько критично: средне (14/25)

8 мая командой безопасности Drupal были выпущены обновления, закрывающие критические уязвимости в библиотеке typo3/phar-stream-wrapper.

Цитата специалиста по безопасности (google translate):

Чтобы перехватывать вызовы файлов, такие как file_exists или stat в скомпрометированных архивах Phar, необходимо определить и проверить базовое имя, прежде чем разрешить его обработку потоком PHP Phar. [...]
Текущая реализация уязвима для обхода пути, приводящего к сценариям, когда оцениваемый архив Phar не является фактическим (скомпрометированным) файлом.

Необходимо в срочном порядке обновить ядро до версии 7.67, а также 8.7.1 и 8.6.16.

Комментарии

Аватар пользователя void void 8 мая в 21:03

Почему бы не написать немного подробностей на русском? На сколько критичны уязвимости? В чем они заключаются? На сколько срочно и важно обновлять?