SK-CERT Bezpečnostné varovanie V20190510-02

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.8

Identifikátor

TYPO3 / Dupal CMS zraniteľnosti

Popis

Vývojári redakčných systémov TYPO3 a Dupal vydali aktualizácie svojich produktov, ktoré riešia viacero bezpečnostných zraniteľností. Najzávažnejšia bezpečnostná zraniteľnosť v komponente PharStreamWrapper je spôsobená nedostatočnou implementáciou bezpečnostných mechanizmov a umožňuje vzdialenému, neutentifikovanému útočníkovi vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systém.

Dátum prvého zverejnenia varovania

07.05.2019

CVE

CVE-2019-11830, CVE-2019-11831, CVE-2019-11832, CVE-2019-8331

IOC

–

Zasiahnuté systémy

TYPO3 CMS verzie staršie ako 8.7.25 a 9.5.6 Drupal CMS verzie staršie ako 8.7.1, 8.6.16 a 7.67 Bootstrap verzie staršie ako 3.4.1 a 4.3.1 Phar Stream Wrapper verzie staršie ako v3.1.1 a v2.1.1

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému Neoprávnený prístup do systému

Odporúčania

Odporúčame uistiť sa, či Vaše webové stránky nie sú založené na redakčnom systéme TYPO3/Drupal. V prípade že áno, zabezpečte aktualizáciu redakčného systému a pluginov. Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://typo3.org/security/advisory/typo3-psa-2019-005/ https://typo3.org/security/advisory/typo3-psa-2019-006/ https://typo3.org/security/advisory/typo3-psa-2019-007/ https://typo3.org/security/advisory/typo3-psa-2019-008/ https://typo3.org/security/advisory/typo3-core-sa-2019-012/ https://www.drupal.org/sa-core-2019-007 https://nvd.nist.gov/vuln/detail/CVE-2019-11832 https://nvd.nist.gov/vuln/detail/CVE-2019-11820 https://www.securityweek.com/phar-vulnerabilities-patched-drupal-typo3

« Späť na zoznam