Alert GCSA-18028 - Vulnerabilita' in Drupal Core
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-18028
Data: 29 Marzo 2018
Titolo: Vulnerabilita' in Drupal Core
******************************************************************
:: Descrizione del problema
E' stata riscontrata una vulenrabilita' nel CMS Drupal che potrebbe consentire
ad un attaccante remoto di eseguire codice arbitrario su un sistema che ne sia affetto.
Maggiori dettagli sono disponibili nella segnalazione
ufficiale alla sezione "Riferimenti".
:: Piattaforme e software interessati
Drupal 6.x, 7.x, 8.x
:: Impatto
Esecuzione di codice arbitrario
:: Soluzioni
Su installazioni Drupal 7, aggiornare a Drupal 7.58
https://www.drupal.org/project/drupal/releases/7.58
Su installazioni Drupal 8.5, aggiornare a Drupal 8.5.1
https://www.drupal.org/project/drupal/releases/8.5.1
E' stata resa disponibile una patch anche per le versioni 8.3.X e 8.4.X:
Su installazioni Drupal 8.3.x, aggiornare a Drupal 8.3.9
https://www.drupal.org/project/drupal/releases/8.3.9
o applicare la seguente patch:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
Su installazioni Drupal 8.4.x, aggiornare a Drupal 8.4.6
https://www.drupal.org/project/drupal/releases/8.4.6
o applicare la seguente patch:
https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f
Per quanto riguarda Drupal 6.x consultare il seguente link:
https://www.drupal.org/project/d6lts
:: Riferimenti
Drupal Security advisories
https://www.drupal.org/sa-core-2018-002
SecurityTracker:
http://securitytracker.com/id/1040598
Mitre CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7600
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFavLgMwZxMk2USYEIRAlMQAJ46CU1vbhpgJfaPXy3T9HLY3OJu9gCg2YIt
a3KEr6cGI2sUjlPbt2rBxNQ=
=VRiI
-----END PGP SIGNATURE-----
