code-3477973_640

Drupal开发团队发布新版本,解决多个漏洞

  • 浏览次数 47325
  • 喜欢 0
  • 评分 12345

Drupal开发人员发布了Drupal的 7.69、8.7.11和8.8.1版本,这些版本解决了多个漏洞,其中包括一个严重的文件处理问题。

Archive_Tar第三方库相关漏洞是本次修复中遇到的最难处理的。Archive_Tar是处理PHP中的TAR存档文件的工具。此漏洞影响到了Drupal 7x,8.7.x和8.8.x版本。Drupal的Jasper Mattsson报告了此漏洞。

Drupal针对漏洞SA-CORE-2019-012发布安全公告称:“ Drupal项目使用第三方库Archive_Tar,该库已发布的安全更新将会影响Drupal配置。如果允许上传.tar, .tar.gz, .bz2 or .tlz 文件并对其进行处理,则可能触发多个漏洞 。Drupal的最新版本将Archive_Tar升级为1.4.9,以降低文件处理漏洞严重性。”

专家指出某些配置容易受到攻击,允许上传TAR,TAR.GZ,BZ2或TLZ文件的网站有一定安全风险。

开发团队发布了1.4.9版本以解决此问题。

Drupal开发人员解决的其他漏洞是:

等级为“严重”的问题影响版本8.7.x和8.8.x。

 

消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接