Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidades en el núcleo de Drupal |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Obtener acceso |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | Drupal 7.x core, anterior a la versión 7.16 |
Descripción |
|
|
Drupal ha hecho públicas dos vulnerabilidades que afectan al núcleo de su aplicación, gestor de contenidos web. Una de ellas, considerada como crítica, permitiría la ejecución de código PHP arbitrario en el servidor afectado: - Ejecución de código PHP arbitrario: un problema en el código de instalación podría permitir a un atacante remoto no autenticado reinstalar Drupal mediante un servidor de base de datos externo, bajo determinadas circunstancias transitorias. - Escape de información en el módulo OpenID: vulnerabilidad que permite a un atacante leer cualquier archivo en el sistema de archivos local mediante un intento de acceso a través de un servidor OpenID malicioso. Las vulnerabilidades aún no tienen un identificador CVE asignado. |
|
Solución |
|
|
Se recomienda actualizar inmediatamente a las nuevas versiones no vulnerables disponibles en la web del mismo fabricante. Como medida de mitigación para evitar la explotación de la vulnerabilidad más grave, el fabricante recomienda configurar los permisos del fichero settings.php y los directorios del sitio web, sólo de lectura para el usuario que ejecuta el servicio web. Es una buena práctica de seguridad recomendada por la documentación del mismo producto. |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
Aviso de seguridad de Drupal http://drupal.org/node/1815912 |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-10-30 |