Actualització crítica per a totes les versions de Drupal
S’ha publicat un total de 10 vulnerabilitats que afecten totes les versions actuals de Drupal. A més, aquest butlletí és l’últim en què es publicaran actualitzacions per a Drupal 6, que deixa de rebre suport.
Risc: Crític
De les 10 vulnerabilitats publicades i corregides, una és especialment crítica, i consisteix en una fallada en les restriccions d’accés en la Form API que permet a un usuari polsar botons per als quals se suposa que no té permisos. Aquesta fallada afecta només Drupal 6.
Les altres vulnerabilitats publicades són:
- File upload access bypass and denial of service (File module - Drupal 7 and 8 - Moderately Critical)
- Brute force amplification attacks via XML-RPC (XML-RPC server - Drupal 6 and 7 - Moderately Critical)
- Open redirect via path manipulation (Base system - Drupal 6, 7 and 8 - Moderately Critical)
- HTTP header injection using line breaks (Base system - Drupal 6 - Moderately Critical)
- Open redirect via double-encoded 'destination' parameter (Base system - Drupal 6 - Moderately Critical)
- Reflected file download vulnerability (System module - Drupal 6 and 7 - Moderately Critical)
- Saving user accounts can sometimes grant the user all roles (User module - Drupal 6 and 7 - Less Critical)
- Adreça electrònica address can be matched to an account (User module - Drupal 7 and 8 - Less Critical)
- Session data truncation can lead to unserialization of user provided data (Base system - Drupal 6 - Less Critical)
Recordem també que a partir del 24 de febrer Drupal 6 deixa de tenir suport, per la qual cosa la versió publicada ara serà l’última que eixirà a la llum.
Sistemes Afectats: Drupal core 6.x, versions anteriors a la 6.38
Drupal core 7.x, versions anteriors a la 7.43
Drupal core 8.0.x, versions anteriors a la 8.0.4
Referències: None
Solució:Es recomana actualitzar a les últimes versions disponibles:
Notes: Drupal SA-CORE-2016-001