Drupal开发团队发布新版本，解决多个漏洞

Drupal开发人员发布了Drupal的 7.69、8.7.11和8.8.1版本，这些版本解决了多个漏洞，其中包括一个严重的文件处理问题。

Archive_Tar第三方库相关漏洞是本次修复中遇到的最难处理的。Archive_Tar是处理PHP中的TAR存档文件的工具。此漏洞影响到了Drupal 7x，8.7.x和8.8.x版本。Drupal的Jasper Mattsson报告了此漏洞。

Drupal针对漏洞SA-CORE-2019-012发布安全公告称：“ Drupal项目使用第三方库Archive_Tar，该库已发布的安全更新将会影响Drupal配置。如果允许上传.tar, .tar.gz, .bz2 or .tlz 文件并对其进行处理，则可能触发多个漏洞 。Drupal的最新版本将Archive_Tar升级为1.4.9，以降低文件处理漏洞严重性。”

专家指出某些配置容易受到攻击，允许上传TAR，TAR.GZ，BZ2或TLZ文件的网站有一定安全风险。

开发团队发布了1.4.9版本以解决此问题。

Drupal开发人员解决的其他漏洞是：

• Drupal core –中等严重–绕过权限– SA-CORE-2019-011 –该漏洞与Media Library有关，在某些情况下无法控制媒体应用使用权限；
• Drupal core –中等严重–多个漏洞– SA-CORE-2019-010；
• Drupal core –中等严重–拒绝服务– SA-CORE-2019-009 –DoS漏洞。

等级为“严重”的问题影响版本8.7.x和8.8.x。

消息来源：SecurityAffairs， 译者：r4938n，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接