Alert GCSA-17050 - Vulnerabilita' in Drupal 8.x Core e Drupal 7.x third-party
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-17050
Data: 17 Agosto 2017
Titolo: Vulnerabilita' in Drupal 8.x Core e Drupal 7.x third-party
******************************************************************
:: Descrizione del problema
Drupal ha rilasciato un avviso di sicurezza per risolvere varie
vulnerabilità presenti in Drupal 8.x Core (DRUPAL-SA-CORE-2017-004).
Un attaccante remoto potrebbe sfruttare queste vulnerabilità per
ottenere o modificare informazioni sensibili in un sistema affetto.
Sono stati inoltre rilasciati 3 advisory per i moduli third-party:
Drupal 7.x Entity reference (DRUPAL-SA-CONTRIB-2017-067)
Drupal 7.x Views (DRUPAL-SA-CONTRIB-2017-068)
Drupal 7.x Views Refresh (DRUPAL-SA-CONTRIB-2017-069)
:: Software interessato
- DRUPAL-SA-CORE-2017-004
Drupal 8.x (versioni precedenti la 8.3.7)
- DRUPAL-SA-CONTRIB-2017-067
Drupal Entity Reference versioni precedenti la 7.x-1.5.
- DRUPAL-SA-CONTRIB-2017-068
Drupal Views versioni precedenti la 7.x-3.17
- DRUPAL-SA-CONTRIB-2017-069
Drupal Views Refresh versioni precedenti la 7.x-1.2.
Drupal Core 7.x non è affetto da nessuna delle vulnerabilità indicate
:: Impatto
Accesso ad informazioni sensibili
:: Soluzioni
Aggiornare Drupal Core alla versione 8.3.7
Aggiornare i moduli third-party alle ultime versioni rilasciate
:: Riferimenti
Drupal Security advisories
https://www.drupal.org/SA-CORE-2017-004
https://www.drupal.org/node/2902596
https://www.drupal.org/node/2902604
https://www.drupal.org/node/2902606
US-CERT
https://www.us-cert.gov/ncas/current-activity/2017/08/16/Drupal-Releases-Security-Updates
Riferimenti CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6923
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6924
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6925
GARR CERT Security Alert - subscribe/unsubscribe: http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAlmVZEYACgkQwZxMk2USYEKhdQCgkBifM94zj8yleB4glDw4RJnB
VugAoM0lt1QbjBM2HJZwwJuwdbNQNWlV
=9AvG
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-17050
Data: 17 Agosto 2017
Titolo: Vulnerabilita' in Drupal 8.x Core e Drupal 7.x third-party
******************************************************************
:: Descrizione del problema
Drupal ha rilasciato un avviso di sicurezza per risolvere varie
vulnerabilità presenti in Drupal 8.x Core (DRUPAL-SA-CORE-2017-004).
Un attaccante remoto potrebbe sfruttare queste vulnerabilità per
ottenere o modificare informazioni sensibili in un sistema affetto.
Sono stati inoltre rilasciati 3 advisory per i moduli third-party:
Drupal 7.x Entity reference (DRUPAL-SA-CONTRIB-2017-067)
Drupal 7.x Views (DRUPAL-SA-CONTRIB-2017-068)
Drupal 7.x Views Refresh (DRUPAL-SA-CONTRIB-2017-069)
:: Software interessato
- DRUPAL-SA-CORE-2017-004
Drupal 8.x (versioni precedenti la 8.3.7)
- DRUPAL-SA-CONTRIB-2017-067
Drupal Entity Reference versioni precedenti la 7.x-1.5.
- DRUPAL-SA-CONTRIB-2017-068
Drupal Views versioni precedenti la 7.x-3.17
- DRUPAL-SA-CONTRIB-2017-069
Drupal Views Refresh versioni precedenti la 7.x-1.2.
Drupal Core 7.x non è affetto da nessuna delle vulnerabilità indicate
:: Impatto
Accesso ad informazioni sensibili
:: Soluzioni
Aggiornare Drupal Core alla versione 8.3.7
Aggiornare i moduli third-party alle ultime versioni rilasciate
:: Riferimenti
Drupal Security advisories
https://www.drupal.org/SA-CORE-2017-004
https://www.drupal.org/node/2902596
https://www.drupal.org/node/2902604
https://www.drupal.org/node/2902606
US-CERT
https://www.us-cert.gov/ncas/current-activity/2017/08/16/Drupal-Releases-Security-Updates
Riferimenti CVE
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6923
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6924
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6925
GARR CERT Security Alert - subscribe/unsubscribe: http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iEYEARECAAYFAlmVZEYACgkQwZxMk2USYEKhdQCgkBifM94zj8yleB4glDw4RJnB
VugAoM0lt1QbjBM2HJZwwJuwdbNQNWlV
=9AvG
-----END PGP SIGNATURE-----