El equipo de seguridad de Drupal acaba de lanzar dos alertas crítica de seguridad en el core de la herramienta como consecuencia de dos vulnerabilidades detectadas en una librería de terceros y en PHP.
La primera de ellas está relacionada con la librería PEAR Archive_Tar de terceros, la cual ha emitido una alerta de seguridad que afecta a algunas configuraciones de Drupal y a la cual se le ha asignado el código de referencia CVE-2018-1000888. La segunda de ellas se ubica en el envoltorio integrado phar_stream de PHP y que se produciría en las operaciones de archivo en un phar://URI al no validar suficientemente las entradas de usuario.
Para solucionar ambas vulnerabilidades se han publicado las versiones de Drupal 8.6.6, 8.5.9 y 7.62 que solucionan ambos problemas. Para versiones anteriores, al encontrarse fuera de mantenimiento, no se ha publicado ninguna actualización. Dada la gravedad de la amenaza se recomienda encarecidamente su actualización a las últimas versiones publicada.
Se han reportado algunos problemas a la hora de realizar la actuación vía Drush, por lo que se recomienda leer detenidamente toda la información. Podemos encontrar todos los detalles sobre estas dos vulnerabilidad en el sitio web del E-quipo de Seguridad de Drupal.
Drupal core 8.6.6, 8.5.9 and 7.62 have been released to address security vulnerabilities https://t.co/In0DlGLuME & https://t.co/TTKrmBHt4L
— Drupal Security (@drupalsecurity) January 16, 2019