El equipo de seguridad de Drupal ha publicado el primer boletínde seguridad del año. Calificado como crítico, obteniendo una puntuación de 15 en su escala de riesgo de seguridad de un máximo de 25. Han solucionado un total de diez vulnerabilidades.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
En primer lugar se ha solucionado un salto de restricciones y denegación de servicio en el módulo File. Un atacante podría ver, eliminar o substituir un enlace a un archivo que un usuario hubiera subido a un formulario sin que el formulario se haya enviado aun.
El sistema XML-RPC permitía realizar a la vez un gran número de llamadas al mismo método, lo cual podría ser usado para ataques de fuerza bruta, por ejemplo enviando una gran cantidad de variaciones de contraseñas para un mismo usuario y de una sola vez. Este método XML-RPC vulnerable estaba activo en el módulo Blog API.
Varias vulnerabilidades en el sistema base:
- Dos vulnerabilidades de redirección abierta. Una en la función drupal_goto() al no decodificar correctamente el contenido de $_REQUEST[‘destination’] y otra manipulando rutas.
- Un error en la función drupal_set_header() permitía la inyección de cabeceras HTTP en sitios web con versiones de php anteriores a 5.1.2.
- En algunas versiones antiguas de php, datos aportados por el usuario y almacenados en la sesión de Drupal podrían ser unserializados y ejecutar código arbitrario.
Existe un error en Form API, al permitir enviar datos desde elementos tipo «button» que han sido bloqueados con el parámetro #access a falso en la definición del formulario.
En el módulo System, un atacante podría hacer que un usuario descargara y ejecutara un archivo con contenido JSON arbitrario.
Varios fallos en el módulo User:
- Es posible llamar a user_save() API de una forma diferente de Drupal core. Dependiendo de los datos añadidos en un formulario o array antes de guardarlo se le podrían conceder todos los privilegios a un usuario.
- En configuraciones que permitan hacer login con la dirección de correo electrónico, sería posible revelar los nombres de usuario a través del formulario de olvidar contraseña.
Afectan a las versiones 6.x anteriores a 6.38, versiones 7.x anteriores a 7.43 y versiones 8.x anteriores a 8.0.4. Se recomienda su inmediata actualización a las versiones Drupal 6.38, Drupal 7.43 y Drupal 8.0.4
Más información:
Drupal Core – Critical – Multiple Vulnerabilities – SA-CORE-2016-001
drupal 6.38
drupal 7.43
drupal 8.0.4
Fernando Castillo
