Se ha detectado una vulnerabilidad de secuestro de
sesión que afecta a las versiones 6.x y 7.x, y otra de denegación de servicio
que únicamente afecta a la rama 7.x. Para ambas versiones ya existen
actualizaciones que corrigen los problemas catalogados con Importancia: 4 - Alta
Recursos afectados
Todas las versiones de Drupal:
1)
Anteriores
a 6.34
2)
Anteriores
a 7.34
Detalle e impacto de las
vulnerabilidades detectadas
1)
Secuestro de sesión (Drupal 6 y 7).- A través de una petición
especialmente manipulada es posible que una sesión de usuario pueda dar acceso
a otras, permitiendo la suplantación de las mismas. Este ataque es posible
realizarlo en sitios que sirven contenidos con "HTTP" y
"HTTPS", aunque es posible que existan otros vectores de ataque.
2)
Denegación de servicio (Drupal 6 y
7).- Drupal 7
incluye una API para codificar (hashing) las contraseñas y no almacenarlas en
texto plano. Una vulnerabilidad en esta API podría permitir a un atacante, a
través de una petición especialmente modificada, que provocaría un agotamiento
de CPU dando como resultado una denegación de servicio del sitio afectado. Esta
vulnerabilidad puede ser explotada por usuarios sin necesidad de logarse en el
sistema. Esta vulnerabilidad, también afecta a la versión 6 de Drupal si está
habilitada una versión del módulo Secure Password Hashes anterior a la 6.x-2.1.
Recomendación
- Actualizar a una de las
siguientes versiones que corresponda:
- Drupal 6.34 https://www.drupal.org/drupal-6.34-release-notes
- Drupal 7.34 https://www.drupal.org/drupal-7.34-release-notes
Más información
- Aviso
Drupal (SA-CORE-2014-006) https://www.drupal.org/SA-CORE-2014-006
- Timing Attack and the importance of controlling
the length of the input – The Case of Drupal http://www.devconsole.info/?p=1050
- Drupal Denial of Service Responsible Disclosure -
Attacking with long passwords http://www.behindthefirewalls.com/2014/11/drupal-denial-of-service-responsible-disclosure.html