Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

20/11/2014

Vulnerabilidad de secuestro de sesión y DoS en Drupal

Se ha descubierto una vulnerabilidad de secuestro de sesión que afecta a las versiones 6.x y 7.x, y otra de denegación de servicio que únicamente afecta a la rama 7.x. Para ambas versiones ya existen actualizaciones que corrigen el problema.

Secuestro de sesión (Drupal 6 y 7):

• A través de una petición especialmente manipulada es posible que una sesión de usuario pueda dar acceso a otras, permitiendo la suplantación de las mismas. Este ataque es posible realizarlo en sitios que sirven contenidos con "HTTP" y "HTTPS", aunque es posible que existan otros vectores de ataque.

Denegación de servicio (Drupal 6 y 7):

• Drupal 7 incluye una API para codificar (hashing) las contraseñas y no almacenarlas en texto plano. Una vulnerabilidad en esta API podría permitir a un atacante, a través de una petición especialmente modificada, que provocaría un agotamiento de CPU dando como resultado una denegación de servicio del sitio afectado. Esta vulnerabilidad puede ser explotada por usuarios sin necesidad de logarse en el sistema. Esta vulnerabilidad, también afecta a la versión 6 de Drupal si está habilitada una versión del módulo Secure Password Hashes anterior a la 6.x-2.1.

Sistemas Afectados:

Todas las versiones de Drupal:

• Anteriores a 6.34
• Anteriores a 7.34

Referencias:

None

Solución:

Actualizar a las versiones de Drupal 6.34  y 7.34 .

Notas:

• Aviso Drupal (SA-CORE-2014-006) 
• Timing Attack and the importance of controlling the length of the input – The Case of Drupal 
• Drupal Denial of Service Responsible Disclosure - Attacking with long passwords 

CSIRT-CV