17 de enero de 2014

DRUPAL. Descubiertas múltiples vulnerabilidades en el nucleo

Detectadas y corregidas múltiples vulnerabilidades de alta criticidad en el núcleo del gestor de contenidos Drupal.
Recursos afectados
Versiones afectadas:
  • Versiones del núcleo de Drupal 6.x anteriores a 6.30.
  • Versiones del núcleo de Drupal 7.x anteriores a 7.26.
Detalle e Impacto de las vulnerabilidades corregidas:
Suplantación (módulo OpenID – Drupal 6 y 7 – Muy crítico)
  • Una vulnerabilidad fue encontrada en el módulo de OpenID que permite a un usuario malicioso entrar como otros usuarios en el sitio, incluyendo administradores, y secuestrar sus cuentas.
  • Esta vulnerabilidad se ve mitigada por el hecho de que el usuario malintencionado debe tener una cuenta en el sitio (o ser capaz de crear una), y la víctima debe tener una cuenta con una o más identidades OpenID asociadas.
Bypass de acceso (módulo Taxonomy – Drupal 7 – Moderadamente crítico)
  • El módulo Taxonomy proporciona varias páginas del listado que muestran contenido etiquetado con un término particular de taxonomía. Módulos personalizados o relacionados también pueden proporcionar listados similares. Bajo ciertas circunstancias, el contenido inédito puede aparecer en estas páginas y estará visible para los usuarios que no deben tener permiso para verlo.
  • Esta vulnerabilidad se ve mitigada por el hecho de que sólo se produce en sitios de Drupal 7 que son actualizados desde Drupal 6 o anteriores.
Endurecimiento de Seguridad ( API Form – Drupal 7 – No es crítico)
  • El API de forma proporciona un método para que los desarrolladores desarrollar formularios de envío utilizando la función drupal_form_submit(). Durante el envío de programático de formularios, todos los controles de acceso están deliberadamente anulados y cualquier elemento de formulario se pueden presentar independientemente del nivel de acceso del usuario actual.
  • Este es un comportamiento normal y esperado en la mayoría de los usos de los envíos de formularios programáticas, sin embargo, hay casos en que código personalizado o contribuciones pueden necesitar enviar los datos proporcionados por el usuario actual (no confiable) con drupal_form_submit () y , por tanto, tienen que respetar el control de acceso en la formulario.
  • Para facilitar esto, un nuevo elemento opcional $ form_state [ ' programmed_bypass_access_check ' ] se ha añadido a la forma de Drupal 7 API. Si esto se proporciona y se establece en FALSE, drupal_form_submit () realizará las comprobaciones normales de acceso a la forma contra el usuario actual , mientras que la presentación de la forma , en lugar de pasar por ellos.
  • Este cambio no soluciona un problema de seguridad en el núcleo de Drupal por si mismo, sino más bien proporciona un método para código personalizado o contribuciones solucionen los problemas de seguridad que serían difíciles o imposibles de resolver de otra manera .
Recomendación
  • Actualizar Drupal a las versiones 6.30 y 7.26.
Fuente: Inteco
Publicado por en
Etiquetas: , ,