Vulnerability Bulletins |
Vulnerabilidades en el núcleo de Drupal |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software | Drupal 7.x core, anterior a la versión 7.16 |
Description |
|
|
Drupal ha hecho públicas dos vulnerabilidades que afectan al núcleo de su aplicación, gestor de contenidos web. Una de ellas, considerada como crítica, permitiría la ejecución de código PHP arbitrario en el servidor afectado: - Ejecución de código PHP arbitrario: un problema en el código de instalación podría permitir a un atacante remoto no autenticado reinstalar Drupal mediante un servidor de base de datos externo, bajo determinadas circunstancias transitorias. - Escape de información en el módulo OpenID: vulnerabilidad que permite a un atacante leer cualquier archivo en el sistema de archivos local mediante un intento de acceso a través de un servidor OpenID malicioso. Las vulnerabilidades aún no tienen un identificador CVE asignado. |
|
Solution |
|
|
Se recomienda actualizar inmediatamente a las nuevas versiones no vulnerables disponibles en la web del mismo fabricante. Como medida de mitigación para evitar la explotación de la vulnerabilidad más grave, el fabricante recomienda configurar los permisos del fichero settings.php y los directorios del sitio web, sólo de lectura para el usuario que ejecuta el servicio web. Es una buena práctica de seguridad recomendada por la documentación del mismo producto. |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
Aviso de seguridad de Drupal http://drupal.org/node/1815912 |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2012-10-30 |