Sikkerhedsrettelse fra Drupal

Rettelsen er udsendt uden for de ellers planlagte sikkerhedsvinduer.

Drupal har udsendt en sikkerhedsopdatering for at løse en kritisk fejl. En fejl, der kan udnyttes til afvikling af vilkårlig PHP-kode på nogle CMS-versioner. Det skriver Security Affairs.

Også CISA er på banen med en meddelelse under kategorien ”Current activity”, der opfordrer brugere af systemet til at opdatere og implementere rettelserne, eftersom der er en kendt udnyttelse i omløb. Fejlen kunne udnyttes af en hacker ved at uploade filer med visse typer udvidelser (phar, php, pl, py, cgi, html, htm, phtml, js og asp) til serveren for at opnå fjernafvikling af kode.

Ifølge Drupal selv indgår opdateringen ikke i et ellers planlagt sikkerhedsvindue, men opdateringen skyldes, at der er ”.. en kendt udnyttelse af en af ​​kernens afhængigheder, og nogle konfigurationer af Drupal er sårbare."

Drupal har givet følgende anvisninger til opdateringerne: 

  • Drupal 9.0-brugere skal opdatere til Drupal 9.0.9
  • Drupal 8.9-brugere skal opdatere til Drupal 8.9.10
  • Drupal 8.8 eller tidligere brugere skal opdatere til Drupal 8.8.12
  • Drupal 7-brugere skal opdatere til Drupal 7.75

Det fremgår yderligere, at versioner af Drupal 8 før 8.8.x har nået End-of-life og derfor ikke får sikkerhedsopdateringer

Sårbarheden, CVE-2020-13671, er klassificeret som kritisk i henhold til NIST's Common Misuse Scoring System.

Links:

https://securityaffairs.co/wordpress/111582/security/drupal-php-code-execution.html
https://www.drupal.org/sa-core-2020-013

 

.