23 de noviembre de 2014

DRUPAL. Descubierta vulnerabilidades de secuestro de sesión y DoS

Se ha detectado una vulnerabilidad de secuestro de sesión que afecta a las versiones 6.x y 7.x, y otra de denegación de servicio que únicamente afecta a la rama 7.x. Para ambas versiones ya existen actualizaciones que corrigen los problemas catalogados  con Importancia: 4 - Alta
Recursos afectados
Todas las versiones de Drupal:
1)   Anteriores a 6.34
2)   Anteriores a 7.34
Detalle e impacto de las vulnerabilidades detectadas
1)   Secuestro de sesión (Drupal 6 y 7).- A través de una petición especialmente manipulada es posible que una sesión de usuario pueda dar acceso a otras, permitiendo la suplantación de las mismas. Este ataque es posible realizarlo en sitios que sirven contenidos con "HTTP" y "HTTPS", aunque es posible que existan otros vectores de ataque.
2)   Denegación de servicio (Drupal 6 y 7).- Drupal 7 incluye una API para codificar (hashing) las contraseñas y no almacenarlas en texto plano. Una vulnerabilidad en esta API podría permitir a un atacante, a través de una petición especialmente modificada, que provocaría un agotamiento de CPU dando como resultado una denegación de servicio del sitio afectado. Esta vulnerabilidad puede ser explotada por usuarios sin necesidad de logarse en el sistema. Esta vulnerabilidad, también afecta a la versión 6 de Drupal si está habilitada una versión del módulo Secure Password Hashes anterior a la 6.x-2.1.
Recomendación
Más información
 Fuente: INCIBE