De Hispasec – Una al Día: Boletín de seguridad crítico para Drupal (25/02/2016)

Saludos nuevamente.

Hoy leyendo las RSS de Hispasec – Una al Día me tropecé con esta noticia (la primera de la lista hoy):

Boletín de seguridad crítico para Drupal

jueves, 25 de febrero de 2016

El equipo de seguridad de Drupal ha publicado el primer boletín de seguridad del año. Calificado como crítico, obteniendo una puntuación de 15 en su escala de riesgo de seguridad de un máximo de 25. Han solucionado un total de diez vulnerabilidades.

drupal

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

En primer lugar se ha solucionado un salto de restricciones y denegación de servicio en el módulo File. Un atacante podría ver, eliminar o substituir un enlace a un archivo que un usuario hubiera subido a un formulario sin que el formulario se haya enviado aun.

El sistema XML-RPC permitía realizar a la vez un gran número de llamadas al mismo método, lo cual podría ser usado para ataques de fuerza bruta, por ejemplo enviando una gran cantidad de variaciones de contraseñas para un mismo usuario y de una sola vez. Este método XML-RPC vulnerable estaba activo en el módulo Blog API.

Varias vulnerabilidades en el sistema base:

  • Dos vulnerabilidades de redirección abierta. Una en la función drupal_goto() al no decodificar correctamente el contenido de $_REQUEST[‘destination’] y otra manipulando rutas.
  • Un error en la función drupal_set_header() permitía la inyección de cabeceras HTTP en sitios web con versiones de php anteriores a 5.1.2.
  • En algunas versiones antiguas de php, datos aportados por el usuario y almacenados en la sesión de Drupal podrían ser unserializados y ejecutar código arbitrario.

 

Existe un error en Form API, al permitir enviar datos desde elementos tipo “button” que han sido bloqueados con el parámetro #access a falso en la definición del formulario.

En el módulo System, un atacante podría hacer que un usuario descargara y ejecutara un archivo con contenido JSON arbitrario.

Varios fallos en el módulo User:

  • Es posible llamar a user_save() API de una forma diferente de Drupal core. Dependiendo de los datos añadidos en un formulario o array antes de guardarlo se le podrían conceder todos los privilegios a un usuario.
  • En configuraciones que permitan hacer login con la dirección de correo electrónico, sería posible revelar los nombres de usuario a través del formulario de olvidar contraseña.

 

Afectan a las versiones 6.x anteriores a 6.38, versiones 7.x anteriores a 7.43 y versiones 8.x anteriores a 8.0.4. Se recomienda su inmediata actualización a las versiones Drupal 6.38, Drupal 7.43 y Drupal 8.0.4

Más información:

Drupal Core – Critical – Multiple Vulnerabilities – SA-CORE-2016-001

https://www.drupal.org/SA-CORE-2016-001

drupal 6.38

https://www.drupal.org/drupal-6.38-release-notes

drupal 7.43

https://www.drupal.org/drupal-7.43-release-notes

drupal 8.0.4

https://www.drupal.org/drupal-8.0.4-release-notes

 

Fernando Castillo

fcastillo@hispasec.com

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, CMS, Drupal, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *