Drupal ikkita muhim zaiflikni tuzatadi
Zaifliklar Drupal 8.6.6, 8.5.9 va 7.62 versiyalarida tuzatildi va 8.5.x dan oldingi Drupal 8 versiyalari endi qo’llab-quvvatlanmaydi.
Drupal 7, 8.5 va 8.6 kodni masofadan bajarishga imkon beradigan ikkita jiddiy zaiflikni tuzatadi. Birinchi zaiflik PHP ning o’rnatilgan phar oqim o’rash vositasi ishonchsiz phar:// URI larni qanday boshqarishi bilan bog’liq. Ushbu zaiflik tufayli kontentni boshqarish tizimi (CMS) ishlab chiquvchilari .phar ni xavfli kengaytmalar ro’yxatiga qo’shishga qaror qilishdi. Shuning uchun, ekspluatatsiyaning oldini olish uchun Drupal ga yuklangan .phar fayllari avtomatik ravishda .txt ga o’zgartiriladi.
Drupal dasturchilari shuningdek, 5.3.3 dan oldingi PHP versiyalarini ishga tushiradigan Drupal 7 saytlarida phar:// stream wrapperni o’chirib qo’yishdi. PHP ning oldingi versiyalarida stream wrapperni qo’lda qayta yoqish mumkin; ammo, buni amalga oshirish tajovuzkorlar tomonidan ekspluatatsiya qilinish xavfini tug’diradi.
Ikkinchi zaiflik PHPda .tar fayllarini qayta ishlash uchun uchinchi tomon PEAR kutubxonasi Archive_Tar bilan bog’liq. Phar stream wrapper va maxsus konfiguratsiya qilingan .tar faylidan foydalanishni o’z ichiga olgan zaiflikdan foydalanish faylni o’chirishga va masofadan kodni bajarishga olib kelishi mumkin. Archive_Tar ishlab chiquvchilari zaiflikni tuzatdilar (CVE-2018-1000888) va yangilangan kutubxona Drupal yadrosiga qo’shildi.
Yuqorida tavsiflangan ikkala zaiflik ham Drupal 8.6.6, 8.5.9 va 7.62 versiyalarida tuzatildi. 8.5.x dan oldingi Drupal 8 versiyalari endi ishlab chiqaruvchi tomonidan qo’llab-quvvatlanmaydi va xavfsizlik yangilanishlarini olmaydi.
