Boletines de Vulnerabilidades

int(6279)

Boletines de Vulnerabilidades

Actualización de seguridad 7.14 de Drupal
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Probado
Impacto	Denegación de Servicio
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto con cuenta
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	Versiones de Drupal 7.x anteriores a la 7.13.
Descripción
La nueva versión, además de solventar varios bugs, resuelve las siguientes vulnerabilidades: CVE-2012-1588: vulnerabilidad de denegación de servicio en la funcionalidad de eliminación de etiquetas HTML erróneas y de conversión automática a enlace debido al tratamiento ineficiente de determinadas cadenas de texto. CVE-2012-1589: el API de los formularios permite configurar una URL de destino externa lo que posibilita una redirección maliciosa a un sitio web externo con las credenciales de acceso. CVE-2012-1590: error en la comprobación de acceso permite visualizar metadatos de posts del foro despublicados. CVE-2012-1591: vulnerabilidad que permite acceder a imágenes derivadas para las que no se tiene permiso. CVE-2012-2153: vulnerabilidad que permite acceder a la lista de nodos de "admin/content" en portales que ejecuten un módulo de acceso a nodos contributivo por usuarios con el rol "view content overview".
Solución
Actualizar a la versión 7.14 de Drupal
Identificadores estándar
Propiedad	Valor
CVE	CVE-2012-1588 CVE-2012-1589 CVE-2012-1590 CVE-2012-1591 CVE-2012-2153
BID
Recursos adicionales
Aviso de seguridad del Instituto Nacional de Tecnologías de la Comunicación http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/actualizacion_seguridad_714_drupal_20120503 Publicación en el Centre de Seguretat TIC de la Comunitat Valenciana http://www.csirtcv.gva.es/es/alertas/actualizaci%C3%B3n-de-seguridad-714-de-drupal.html