[Drupal] Aggiornare il Phar Stream Wrapper Interceptor

Il gruppo di lavoro dedicato alla sicurezza di Drupal ha rilasciato un avviso speciale, fuori dalla consueta finestra di aggiornamenti programmati, per invitare gli utenti ad aggiornare una libreria esterna usata dal sistema. La curiosità è che la notizia è stata data inizialmente dagli sviluppatori di Typo3, un CMS concorrente, che hanno scoperto il problema in quanto la libreria viene usata anche dal loro software. 


Problema

La libreria in questione è il Phar Stream Wrapper Interceptor, un componente del PHP. Come spiegato nell'informativa di Typo3, è possibile ingannare i suoi controlli interni, facendogli analizzare un archivio Phar diverso da quello inviato, che quindi può contenere codice malevolo eseguito impunemente (gravità 14/25).


Cosa fare

Per chiudere la vulnerabilità è sufficiente installare la versione 8.7.1 del recente Drupal 8.7, oppure la 8.6.16 del ramo 8.6. Le versioni di D8 prima della 8.6 sono a fine vita e non vengono più aggiornate. 

Per chi usa Drupal 7, la versione da installare è la 7.67, che naturalmente include tutte le migliorie delle altre 66.


Approfondimenti


Fonte

Drupal Security Team

Newsletter

Ti segnaliamo i principali avvisi di sicurezza per Magento e Drupal non appena vengono rilasciati!

Lasciaci la tua email per ricevere le nostre ultime novità e aggiornamenti!

Go to top