Avisos 30 de October, 2012

Vulnerabilitats al nucli de Drupal

Drupal ha fet públiques dues vulnerabilitats que afecten al nucli de la seva aplicació, gestor de continguts web. Una d'elles, considerada com a crítica, permetria l'execució de codi PHP arbitrari al servidor afectat.

 

Impacte
 
Execució de codi PHP arbitrari i fuita d'informació.
 
Recursos afectats
 
Drupal 7.x core, anterior a la versió 7.16.
 
Solució
 
Es recomana actualitzar immediatament a les noves versions no vulnerables, versions disponibles a la web del mateix fabricant.
Com a mesura de mitigació per evitar l'explotació de la vulnerabilitat més greu, el fabricant recomana configurar els permisos del fitxer settings.php i dels directoris del lloc web, només de lectura per a l'usuari que executa el servei web. És una bona pràctica de seguretat recomanada per la documentació del mateix producte.
 
Detall
 
L'avís de seguretat SA-CORE-2012-003 inclou dues vulnerabilitats al nucli de Drupal:
Execució de codi PHP arbitrari: un problema al codi d'instal•lació permetre a un atacant remot sense necessitat d'autenticació re-instal•lar Drupal mitjançant un servidor de base de dades extern, sota determinades circumstancies transitòries. 
Fuita d'informació al mòdul OpenID: vulnerabilitat que permet a un atacant llegir qualsevol arxiu al sistema de fitxers local mitjançant un intent de accés a través d'un servidor OpenID maliciós
Les vulnerabilitats encara no tenen un identificador CVE assignat.
 
Referències
 
Avís de seguretat de Drupal
http://drupal.org/node/1815912
Publicat a: Avisos