Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
31/10/2012
Drupal ha fet públiques dos vulnerabilitats que afecten el nucli de la seua aplicació, gestor de continguts web. Una d’estes, considerada com a crítica, permetria l’execució de codi PHP arbitrari en el servidor afectat:
Execució de codi PHP arbitrari: un problema en el codi d’instal·lació podria permetre a un atacant remot no autenticat reinstal·lar Drupal per mitjà d’un servidor de base de dades externes, sota determinades circumstàncies transitòries.
Fuga d’informació en el mòdul OpenID: vulnerabilitat que permet a un atacant llegir qualsevol arxiu en el sistema d’arxius local per mitjà d’un intent d’accés a través d’un servidor OpenID maliciós.
Les vulnerabilitats encara no tenen un identificador CVE assignat.
Sistemes Afectats:
Drupal 7.x core, anterior a la versió 7.16
Referències:None
Solució:Es recomana actualitzar immediatament les noves versions no vulnerables disponibles en el web del mateix fabricant.
Com a mesura de mitigació per a evitar l’explotació de la vulnerabilitat més greu, el fabricant recomana configurar els permisos del fitxer settings.php i els directoris del lloc web, només de lectura per a l’usuari que executa el servici web. És una bona pràctica de seguretat recomanada per la documentació d'este producte.
Notes:
CCN-Cert Vulnerability Bulletin