Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

31/10/2012

Vulnerabilidades en el núcleo de Drupal

Se han detectado dos vulnerabilidades que podrían permitir acceso remoto sin cuenta a un servicio estandar.

Drupal ha hecho públicas dos vulnerabilidades que afectan al núcleo de su aplicación, gestor de contenidos web. Una de ellas, considerada como crítica, permitiría la ejecución de código PHP arbitrario en el servidor afectado:

• Ejecución de código PHP arbitrario: un problema en el código de instalación podría permitir a un atacante remoto no autenticado reinstalar Drupal mediante un servidor de base de datos externo, bajo determinadas circunstancias transitorias.
• Fuga de información en el módulo OpenID: vulnerabilidad que permite a un atacante leer cualquier archivo en el sistema de archivos local mediante un intento de acceso a través de un servidor OpenID malicioso.

Las vulnerabilidades aún no tienen un identificador CVE asignado.

Sistemas Afectados:

Drupal 7.x core, anterior a la versión 7.16

Referencias:

None

Solución:

Se recomienda actualizar inmediatamente a las nuevas versiones no vulnerables disponibles en la web del mismo fabricante.
Como medida de mitigación para evitar la explotación de la vulnerabilidad más grave, el fabricante recomienda configurar los permisos del fichero settings.php y los directorios del sitio web, sólo de lectura para el usuario que ejecuta el servicio web. Es una buena práctica de seguridad recomendada por la documentación del mismo producto.

Notas:

Drupal Security Advisory

CCN-Cert Vulnerability Bulletin

CSIRT-CV