El
equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado
como crítico, en el que se soluciona una vulnerabilidad que podría permitir a
un atacante evitar los controles de acceso.
Drupal
es un CMF (Content Management Framework) modular multipropósito y muy
configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación
de artículos, imágenes, y otro tipo de archivos con servicios añadidos como
foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Detalle
de la vulnerabilidad subsanada
· El
problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del
acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones:
el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH
y el atacante puede tener o registrar una cuenta de usuario en el sitio.
Recursos
afectados
- Se ven afectadas
las versiones 8.x anteriores a 8.2.8 y 8.3.1.
Recomendación
Se
recomienda la actualización a la versión Drupal correspondiente:
- Drupal 8.2.8 desde
https://www.drupal.org/project/drupal/releases/8.2.8
- Drupal 8.3.1.desde https://www.drupal.org/project/drupal/releases/8.3.1
Cabe
señalar, que aunque Drupal no proporciona actualizaciones de seguridad para
versiones menores no soportadas, dada la gravedad del problema han
proporcionado una versión 8.2.x. De esta forma todos los sitios que no han
tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.
Más
información:
- Drupal Core -
Critical - Access Bypass - SA-CORE-2017-002 https://www.drupal.org/SA-CORE-2017-002