Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/10/2012
Drupal ha hecho públicas dos vulnerabilidades que afectan al núcleo de su aplicación, gestor de contenidos web. Una de ellas, considerada como crítica, permitiría la ejecución de código PHP arbitrario en el servidor afectado:
Las vulnerabilidades aún no tienen un identificador CVE asignado.
Sistemas Afectados:Drupal 7.x core, anterior a la versión 7.16
Referencias:None
Solución:Se recomienda actualizar inmediatamente a las nuevas versiones no vulnerables disponibles en la web del mismo fabricante.
Como medida de mitigación para evitar la explotación de la vulnerabilidad más grave, el fabricante recomienda configurar los permisos del fichero settings.php y los directorios del sitio web, sólo de lectura para el usuario que ejecuta el servicio web. Es una buena práctica de seguridad recomendada por la documentación del mismo producto.
CCN-Cert Vulnerability Bulletin