TRUSSELVURDERING (TLP:CLEAR)

[NCSC-varsel] Kritisk sårbarhet i Drupal

20-12-2019

NCSC ønsker å varsle om sårbarheter i Drupal versjon 7.x, 8.7.x,

and 8.8.x som gjør det mulig for en angriper å modifisere data på

sårbare nettsider [1].

 

Drupal har utgitt følgende beskrivelser av sårbarhetene.

 

SA-CORE-2019-012: Kritisk, Drupal core 8.8.x-dev, 8.7.x-dev og 7.x-dev

Et tredjepartsbibliotek brukt i Drupal har utgitt en

sikkerhetsoppdatering som lukker flere filprosesseringssårbarheter og er

tilgjengelig ved oppdatering til nyere versjoner av Drupal [2].

 

SA-CORE-2019-009: Moderat, Drupal core 8.8.x-dev og 8.7.x-dev

En DoS sårbarhet er funnet der hurtigbufret data (cached data) kan bli

korrupt ved at install.php besøkes [3].

 

SA-CORE-2019-010: Moderat, Drupal core 8.8.x-dev og 8.7.x-dev

En sårbarhet i file_save_upload() er funnet som ikke tar bort punktum

fra filnavn på riktig måte [4].

 

SA-CORE-2019-011: Moderat, Drupal core 8.8.x-dev og 8.7.x-dev

Denne versjonen av Drupal har en unngåelse av

tilgangskontrolls-sårbarhet. Dette går ut på at Media Library modulen

ikke begrenser tilgang til mediaobjekter på riktig måte [5]. 

 

Vi anbefaler å lese følgende veiledninger fra Drupal:

1. SA-CORE-2019-012 [2]

2. SA-CORE-2019-009 [3]

3. SA-CORE-2019-010 [4]

4. SA-CORE-2019-011 [5]

 

Referanser:

[1] https://www.us-cert.gov/ncas/current-activity/2019/12/19/drupal-releases-security-updates

[2] https://www.drupal.org/sa-core-2019-012

[3] https://www.drupal.org/sa-core-2019-009

[4] https://www.drupal.org/sa-core-2019-010

[5] https://www.drupal.org/sa-core-2019-011