Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1024
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
abril
(Total:
31
)
- Falsas guias de juegos engañan a 2 millones de usu...
- Tamper Chrome: el TamperData de Firefox para Chrome
- Vulnerabilidad crítica en módulo de Drupal
- Shadow Brokers: Framework Fuzzbunch y los exploits...
- Disponible Kali Linux Edición 2017.1
- FlexiSpy, empresa que vende software espía es hack...
- Récord sentencia delitos informáticos: 27 años de ...
- Botnets justicieras: Hajime y BrickerBot; la antít...
- IDS/IPS Suricata
- Demandan a Bose por espiar la música con sus auric...
- Apps fraudulentas en Google Play
- Múltiples vulnerabilidades Smart-Wifi de routers L...
- jSQL Injection: herramienta automatizada en Java p...
- El ayuntamiento de Rialp también es víctima de un ...
- Protocolo CLDAP permite realizar ataques DDoS con ...
- Desarticulado un grupo de cibercriminales por come...
- Pwnbox: herramientas de hacking en Docker
- Nintendo pagará por encontrar fallos de seguridad ...
- AMD Ryzen aplasta a un Mac Pro en pruebas de rendi...
- Vulnerabilidad crítica en todas las versiones de O...
- Detenido en Barcelona ruso acusado de interferir e...
- Fabricante de puertas de garaje bloquea las de un ...
- Tizen de Samsung es un coladero: 40 vulnerabilidad...
- La tarjeta gráfica más potente: Titan XP con 3.840...
- Hackean el servidor de HazteOir y amenazan con pub...
- Encuesta lenguajes de programación preferidos en S...
- Actualiza tu iPhone e iPad para evitar ser hackead...
- Vulnerabilidad en Samba permite acceder a ficheros...
- Skimmers en cajeros automáticos para robarte dinero
- La memoria RAM DDR5 ofrecerá el doble de velocidad...
- Escaners de vulnerabilidades para WordPress y Joomla
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
244
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
116
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
A pesar de que disponemos de gran cantidad de comandos en Windows 10 para realizar tareas de configuración y abrir aplicaciones, este no e...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Vulnerabilidad crítica en módulo de Drupal
viernes, 28 de abril de 2017
|
Publicado por
el-brujo
|
Editar entrada
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos. Una vulnerabilidad crítica afecta al módulo Referencias de Drupal que
utilizan cientos de miles de sitios web que usan el popular CMS.
El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.
Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.
El equipo de seguridad de Drupal ha descubierto una vulnerabilidad crítica en un módulo de terceros denominado Referencias.
El equipo de Drupal publicó un aviso de Seguridad el 12 de abril informando a sus usuarios de la falla crítica.
La falla tiene un enorme impacto en la comunidad de Drupal porque el módulo afectado es utilizado actualmente por más de 121,000 sitios web.
"El módulo se utiliza actualmente por más de 120 000 instalaciones Drupal individuales, pero ya no se mantiene. La última actualización se realizó en febrero de 2013. Desafortunadamente, una vulnerabilidad de seguridad crítica en este módulo de referencias ha sido reportada por el equipo de seguridad principal de Drupal como SA-CONTRIB-2017-38:
Tenga en cuenta que el equipo de seguridad no publicará información sobre esta vulnerabilidad hasta pasado un mes, la recomendación es migrar. No se responderá a los correos electrónicos que pidan detalles sobre la vulnerabilidad. Si desea mantener el módulo, siga las instrucciones a continuación. Afirma Drupal.
El módulo Referencias permite a los usuarios agregar referencias entre nodos para arquitecturas de información más complejas.
El módulo fue inicialmente marcado por el equipo de desarrollo de Drupal como no soportado, su última actualización fue proporcionada en febrero de 2013.
La buena noticia para los usuarios de Referencias es que, el 14 de abril, el equipo de seguridad de Drupal anunció que fue asignado a un nuevo desarolladorr.
Unos días más tarde, el 18 de abril el problema se ha solucionado con el lanzamiento de las referencias 7.x-2.2.
El equipo de seguridad de Drupal no reveló los detalles técnicos sobre la vulnerabilidad para evitar la explotación de la falla en estado salvaje. Desafortunadamente, será muy difícil actualizar los sitios web en gran medida usando el módulo de referencia.
"Con un problema crítico en un módulo no soportado tan ampliamente utilizado, es casi seguro que un gran número de sitios estarán sujetos a ataques utilizando esto como un vector", afirma Drupal. "Dada la tradición de Drupal haciendo grandes recesos hacia atrás con respecto a la compatibilidad, algunos sitios pueden ser difíciles de actualizar. Actualizar un sitio de la empresa con mucho uso de referencias puede ser simplemente imposible y, esperamos, impulsar el módulo a ser mantenido por una entidad corporativa.
Drupal publicará información sobre la vulnerabilidad crítica en las próximas semanas.
Los expertos en seguridad creen que los delincuentes podrían encontrar la vulnerabilidad analizando el código fuente del módulo.
En junio de 2016, los expertos en seguridad advirtieron de los ataques de Drupalgeddon contra los sitios web de Drupal, más de 19 meses después de la divulgación pública de la CVE-2014-3704.
Fuentes:
http://unaaldia.hispasec.com/2017/04/corregida-vulnerabilidad-critica-en.html
http://securityaffairs.co/wordpress/58136/hacking/drupal-references-module-flaw.html
- Vulnerabilidad crítica en el módulo de referencias de Drupal abre 120.000 sitios listos para ser hackeados
Módulo RESTful Web Services
El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.
Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.
El equipo de seguridad de Drupal ha descubierto una vulnerabilidad crítica en un módulo de terceros denominado Referencias.
El equipo de Drupal publicó un aviso de Seguridad el 12 de abril informando a sus usuarios de la falla crítica.
La falla tiene un enorme impacto en la comunidad de Drupal porque el módulo afectado es utilizado actualmente por más de 121,000 sitios web.
"El módulo se utiliza actualmente por más de 120 000 instalaciones Drupal individuales, pero ya no se mantiene. La última actualización se realizó en febrero de 2013. Desafortunadamente, una vulnerabilidad de seguridad crítica en este módulo de referencias ha sido reportada por el equipo de seguridad principal de Drupal como SA-CONTRIB-2017-38:
Tenga en cuenta que el equipo de seguridad no publicará información sobre esta vulnerabilidad hasta pasado un mes, la recomendación es migrar. No se responderá a los correos electrónicos que pidan detalles sobre la vulnerabilidad. Si desea mantener el módulo, siga las instrucciones a continuación. Afirma Drupal.
El módulo Referencias permite a los usuarios agregar referencias entre nodos para arquitecturas de información más complejas.
El módulo fue inicialmente marcado por el equipo de desarrollo de Drupal como no soportado, su última actualización fue proporcionada en febrero de 2013.
La buena noticia para los usuarios de Referencias es que, el 14 de abril, el equipo de seguridad de Drupal anunció que fue asignado a un nuevo desarolladorr.
Unos días más tarde, el 18 de abril el problema se ha solucionado con el lanzamiento de las referencias 7.x-2.2.
Módulo de referencias
El equipo de seguridad de Drupal no reveló los detalles técnicos sobre la vulnerabilidad para evitar la explotación de la falla en estado salvaje. Desafortunadamente, será muy difícil actualizar los sitios web en gran medida usando el módulo de referencia.
"Con un problema crítico en un módulo no soportado tan ampliamente utilizado, es casi seguro que un gran número de sitios estarán sujetos a ataques utilizando esto como un vector", afirma Drupal. "Dada la tradición de Drupal haciendo grandes recesos hacia atrás con respecto a la compatibilidad, algunos sitios pueden ser difíciles de actualizar. Actualizar un sitio de la empresa con mucho uso de referencias puede ser simplemente imposible y, esperamos, impulsar el módulo a ser mantenido por una entidad corporativa.
Drupal publicará información sobre la vulnerabilidad crítica en las próximas semanas.
Los expertos en seguridad creen que los delincuentes podrían encontrar la vulnerabilidad analizando el código fuente del módulo.
En junio de 2016, los expertos en seguridad advirtieron de los ataques de Drupalgeddon contra los sitios web de Drupal, más de 19 meses después de la divulgación pública de la CVE-2014-3704.
Fuentes:
http://unaaldia.hispasec.com/2017/04/corregida-vulnerabilidad-critica-en.html
http://securityaffairs.co/wordpress/58136/hacking/drupal-references-module-flaw.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.