9VSA21-00371-01 CSIRT comparte mitigaciones obtenidas de Drupal
CSIRT comparte la información entregada por Drupal, sobre vulnerabilidades que afectan a los sistemas Drupal que usan Archive_Tar.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Drupal, sobre vulnerabilidades que afectan a los sistemas Drupal que usan Archive_Tar.
Este informe incluye las medidas de mitigación, consistentes en instalar las últimas actualizaciones de los productos afectados.
Vulnerabilidad
CVE-2020-36193
Impacto
La vulnerabilidad CVE-2020-36193 existe debido a un enlace simbólico con problemas para acceder al archivo tar.php en Archive_Tar, un atacante remoto podría entregar un archivo especialmente diseñado a la aplicación Drupal para forzarla a escribir archivos arbitrarios en el sistema utilizando secuencias de directorio transversal., pudiendo llegar a comprometerlo.
Productos Afectados
Archive_Tar, versiones de la 0.3 a la 1.4.11.
Mitigación
Instalar las actualizaciones desde el sitio del proveedor.
Enlaces
https://github.com/pear/Archive_Tar/commit/cde460582ff389404b5b3ccb59374e9b389de916
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-36193
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00371-01