Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Vulnerabilidad crítica en módulo de Drupal




Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos. Una vulnerabilidad crítica afecta al módulo Referencias de Drupal que utilizan cientos de miles de sitios web que usan el popular CMS.




  •  Vulnerabilidad crítica en el módulo de referencias de Drupal abre 120.000 sitios listos para ser hackeados

Módulo RESTful Web Services


El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.

Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.


El equipo de seguridad de Drupal ha descubierto una vulnerabilidad crítica en un módulo de terceros denominado Referencias.

El equipo de Drupal publicó un aviso de Seguridad el 12 de abril informando a sus usuarios de la falla crítica.

La falla tiene un enorme impacto en la comunidad de Drupal porque el módulo afectado es utilizado actualmente por más de 121,000 sitios web.

"El módulo se utiliza actualmente por más de 120 000 instalaciones Drupal individuales, pero ya no se mantiene. La última actualización se realizó en febrero de 2013. Desafortunadamente, una vulnerabilidad de seguridad crítica en este módulo de referencias ha sido reportada por el equipo de seguridad principal de Drupal como SA-CONTRIB-2017-38:

Tenga en cuenta que el equipo de seguridad no publicará información sobre esta vulnerabilidad hasta pasado un mes, la recomendación es migrar. No se responderá a los correos electrónicos que pidan detalles sobre la vulnerabilidad. Si desea mantener el módulo, siga las instrucciones a continuación. Afirma Drupal.


El módulo Referencias permite a los usuarios agregar referencias entre nodos para arquitecturas de información más complejas.

El módulo fue inicialmente marcado por el equipo de desarrollo de Drupal como no soportado, su última actualización fue proporcionada en febrero de 2013.

La buena noticia para los usuarios de Referencias es que, el 14 de abril, el equipo de seguridad de Drupal anunció que fue asignado a un nuevo desarolladorr.

Unos días más tarde, el 18 de abril el problema se ha solucionado con el lanzamiento de las referencias 7.x-2.2.

Módulo de referencias


El equipo de seguridad de Drupal no reveló los detalles técnicos sobre la vulnerabilidad para evitar la explotación de la falla en estado salvaje. Desafortunadamente, será muy difícil actualizar los sitios web en gran medida usando el módulo de referencia.

"Con un problema crítico en un módulo no soportado tan ampliamente utilizado, es casi seguro que un gran número de sitios estarán sujetos a ataques utilizando esto como un vector", afirma Drupal. "Dada la tradición de Drupal haciendo grandes recesos hacia atrás con respecto a la compatibilidad, algunos sitios pueden ser difíciles de actualizar. Actualizar un sitio de la empresa con mucho uso de referencias puede ser simplemente imposible y, esperamos, impulsar el módulo a ser mantenido por una entidad corporativa.

Drupal publicará información sobre la vulnerabilidad crítica en las próximas semanas.

Los expertos en seguridad creen que los delincuentes podrían encontrar la vulnerabilidad analizando el código fuente del módulo.

En junio de 2016, los expertos en seguridad advirtieron de los ataques de Drupalgeddon contra los sitios web de Drupal, más de 19 meses después de la divulgación pública de la CVE-2014-3704.


Fuentes:
http://unaaldia.hispasec.com/2017/04/corregida-vulnerabilidad-critica-en.html
http://securityaffairs.co/wordpress/58136/hacking/drupal-references-module-flaw.html

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.