Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

31/10/2012

Vulnerabilitats en el nucli de Drupal

S’han detectat dos vulnerabilitats que podrien permetre accés remot sense compte a un servici estàndard.

Drupal ha fet públiques dos vulnerabilitats que afecten el nucli de la seua aplicació, gestor de continguts web. Una d’estes, considerada com a crítica, permetria l’execució de codi PHP arbitrari en el servidor afectat:

• Execució de codi PHP arbitrari: un problema en el codi d’instal·lació podria permetre a un atacant remot no autenticat reinstal·lar Drupal per mitjà d’un servidor de base de dades externes, sota determinades circumstàncies transitòries.

• Fuga d’informació en el mòdul OpenID: vulnerabilitat que permet a un atacant llegir qualsevol arxiu en el sistema d’arxius local per mitjà d’un intent d’accés a través d’un servidor OpenID maliciós.

Les vulnerabilitats encara no tenen un identificador CVE assignat.

 

Sistemes Afectats:

Drupal 7.x core, anterior a la versió 7.16

Referències:

None

Solució:

Es recomana actualitzar immediatament les noves versions no vulnerables disponibles en el web del mateix fabricant.
Com a mesura de mitigació per a evitar l’explotació de la vulnerabilitat més greu, el fabricant recomana configurar els permisos del fitxer settings.php i els directoris del lloc web, només de lectura per a l’usuari que executa el servici web. És una bona pràctica de seguretat recomanada per la documentació d'este producte.

 

Notes:

Drupal Security Advisory

CCN-Cert Vulnerability Bulletin

CSIRT-CV