Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Nu finns två jobbannonser ute: it-säkerhetsspecialist och junior systemadministratör.

Publicerad - Sårbarhet, Drupal, RCE

Kritisk sårbarhet i Drupal

Säkerhetsrättning för Drupal core 8 samt råd gällande Drupal core 7 finns tillgängliga. Sårbarheten CVE-2019-6340 klassas som högsta möjliga risknivå av Drupal och den kan möjliggöra fjärrexekvering av godtycklig PHP-kod.

Uppdatering SA-CORE-2019-003 för finns att hämta. [1]

Påverkade produkter

Drupal 8
Drupal 7

Versioner av Drupal tidigare än 8.5.x har nått slutet av sin underhållscykel och uppdateras inte trots att de är sårbara.

En webbplats är bara sårbar om minst ett av dessa kriterier uppfylls:
- Den kör Drupal 8 med modulen RESTful Web Services aktiverad och tillåter anrop med PATCH eller POST.
- Den kör Drupal 8 med annan modul för web services aktiverad, exempelvis JSON:API.
- Den kör Drupal 7 med modulen Services eller RESTful Web Services aktiverade.

Drupal 7 core eller Services behöver inte uppdateras men de tillägg som inkluderas måste uppdateras. Se listan. [2]
Även för Drupal 8 måste de tillägg som inkluderas uppdateras efter att Drupal core är uppdaterad.

Rekommendation

Uppdatera omeddelbart till senaste versionen av Drupal (för Drupal 8) samt alla tillägg som finns installerade (för Drupal 7 och 8). Har man inte möjlighet att uppdatera utan dröjsmål så ska man istället avaktivera alla web service-moduler. Vi uppmanar också till att undersöka hurvida sårbarheten redan har utnyttjats.

Följ rekommendationerna enligt Drupals åtgärdsbeskrivning. [1]

Källa

[1] https://www.drupal.org/sa-core-2019-003
[2] https://www.drupal.org/security/contrib