Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/11/2014
Segrest de sessió (Drupal 6 i 7):
A través d’una petició especialment manipulada és possible que una sessió d’usuari puga donar accés a altres, i permeta la seua suplantació. Este atac és possible realitzar-lo en llocs que servixen continguts amb "HTTP" i "HTTPS", encara que és possible que hi haja altres vectors d’atac.
Denegació de servici (Drupal 6 i 7):
Drupal 7 inclou una API per a codificar (hashing) les contrasenyes i no emmagatzemar-les en text pla. Una vulnerabilitat en esta API podria permetre a un atacant, a través d’una petició especialment modificada, que provocaria un esgotament de CPU i donaria com a resultat una denegació de servici del lloc afectat. Esta vulnerabilitat pot ser explotada per usuaris sense necessitat d'entrar en el sistema. Esta vulnerabilitat, també afecta la versió 6 de Drupal si està habilitada una versió del mòdul Secure Password Hashes anterior a la 6.x-2.1.
Totes les versions de Drupal:
None
Solució:Actualitzeu a les versions de Drupal 6.34 i 7.34.
Notes: