El tema de la seguridad en un punto vital de mucha importancia a la hora de seleccionar que CMS utilizar para gestionar nuestros Sitios Web, navegando por la red me he topado con la noticia en Hispasec donde notifican sobre la corrección de vulnerabilidades calificadas como críticas que afectan al complicado Drupal en sus versiones versiones 6.x anteriores a 6.29 y 7.x anteriores a 7.24.
El equipo de seguridad de Drupal ha solucionado varios errores de seguridad catalogados como “altamente críticos“, el máximo nivel en su escala de riesgo al ser remotamente explotables y sin necesidad de interacción con el usuario.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Las vulnerabilidades se detallan a continuación:
CVE-2013-6385
Múltiples errores en la validación contra ataques CSRF en la API de formularios que podrían permitir la ejecución de funciones no seguras.
CVE-2013-6386
Varios fallos en la función mt_rand() podrían generar números pseudoaleatorios predecibles. Dicha función es usada en múltiples módulos del núcleo de Drupal.
CVE-2013-6387
Algunos campos de descripción de imágenes no son correctamente saneados en el módulo Image pudiendo realizarse un ataque XSS.
CVE-2013-6388
Falta de comprobación de valores también en el módulo Color que podría ser aprovechado para realizar un ataque XSS no persistente.
CVE-2013-6389
Error de validación de URLs en el módulo Overlay usado en el panel de administración que podría permitir una redirección HTTP no deseada.
También se ha corregido un salto de restricciones de seguridad en la función drupal_valid_token() a través de un token que no sea de tipo cadena y otro fallo de configuración en los archivos ‘.htaccess‘ proporcionados por Drupal que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.
Afecta a las versiones 6.x anteriores a 6.29 y 7.x anteriores a 7.24, se recomienda su inmediata actualización.
Fuente : Hispasec
¿Te resultó interesante? Compártelo ...
Parece que todo sistema es seguro hasta que un experto en seguridad lo revisa 😉
Con frecuencias se descubren errores en todos los softwares,es importante hacer las actualizaciones y que los desarrolladores tengan almenos nociones basicas de seguridad.
La verdad es que no me imaginaba que drupal tuviera tantas vulnerabilidades que afectan a una amplia gama de versiones, en la intranet cubana hay muy pocos sitio desarrollados en drupal.
infomed es uno de ellos……
Compara las vulnerabilidades de Drupal contra WordPress y Joomla, te lo dejo como tarea.
@Rafael Castro, http://gutl.jovenclub.cu/wordpress-es-el-cms-open-source-mas-seguro/
bueno bueno…. Drupal es muy usado aqui en mi centro…..
Es por cositas como esta que no me gustan los CMS
Aunque creo que los Frameworks Frameworks sean = de vulnerables, siempre se puede agregar seguridad personalizada sin muchos problemas
@ilid@n si trabajan mucho con Drupal deben dedicar bastante tiempo al desarrollo, Drupal hace que la vida sea muy complicada.
pues… no se, pero en mi centro de trabajo tenemos la intranet montada en drupal y no nos complico la vida en ningun sentido pues casi todos los modulos que necesitamos ya estaban publicado en su sitio web, como todo CMS tiene sus problemas de seguridad pero bueno, cual no los tiene?
@JorgeN, la verdad es que Drupakl es en buen CMS y no digo lo contrario, pero cuando desarrolles un sitio en WordPress te daras cuenta porque Drupal te complica la vida.
A mi no me gusta comparar a drupal y a wordpress, ambos tienen sus ventajas y desventajas, wordpres es muy fácil de utilizar y de aprender, pero drupal es mucho mas robusto, y con el se pueden hacer cosas que con wordpress costaría mucho trabajo, en lo personal, prefiero (y recomiendo) utilizarlos indistintamente en dependencia de lo que se quiera hacer.
Saludos.
pero hombre es que ambos aunque sean CMS estan creados para fines distintos a mi no se me ocurriria crear un blog con drupal aunque este tenga modulos para esto, no se deben comparar a ambos, no se, seria comparar un limon con una naranja. Ambos saben distintos? pues claro si no son lo mismo jajajaja
Es un coladero
Preguntas o afirmas?
Creo que el titulo pudo haberse quedado en «Multiples vulnerabilidades en Drupal», Drupal puede ser complicado pero eso de referirlo como «colador de seguridad» lo veo poco etico
Usted tiene toda la razón @paradix, lo mismo pienso yo. El titulo esta alejado de la verdad. Primero es vulgar, segundo no es la realidad y es especulativo.
En cuanto a seguridad Drupal dista mucho de ser inseguro, al contrario es mucho mas seguro y robusto que WordPress. No me gusta comprar las cosas, pero si algo tiene Drupal es que por ser complejo mantiene alejado a los «novatos», cosa que WordPress arrastra con su popularidad, pues el core de WP es bueno pero la cantidad de fallos que tiene y se rectifican versión tras versión y la inseguridad que le genera la cantidad de plugins, themes, etc es 10 veces superior a lo que se puede encontrar en Drupal.
Para el autor: es bueno saber lo que se escribe y como se escribe para que los lectores tomen en serio lo que escribes. Una muestra de esto puede ser que cuando escribes algo, y sigues cometiendo el mismo error, los lectores te «pasaran la cuenta» y tus artículos serán menos leídos.
Saludos.
@Rafael Castro, mira colega solo te recomiendo que hagas un poco de SFW antes de emitir un criterio, revisa esta url http://gutl.jovenclub.cu/wordpress-es-el-cms-open-source-mas-seguro/
Con respecto si se de lo que escribo te cuento que estuve 3 años de Webmaster del Portal Atenas de Cultura Provincial en Matanzas que esta realizado en Drupal 4 y bastante trabajo que da cuando tienes por ejemplo que actualizar a una nueva versión y de la 5 a la 6 ni hablar de los dolores de cabeza, con WordPress ya llevo bastante tiempo y no hasta ahora me dado buenos resultados y bastantes ingresos, lo más complicado de un proyecto con un CMS es cuando tienes que entregar el sitio a un cliente y darle un cursito sobre como administrar su sitio, si esta Drupal vas perder mucho tiempo y vas tener bastantes dolores de cabeza.
Me gustaría saber cuantos sitios tienes realizados y publicados, la experiencia esta muy relacionada con la práctica…
Y volvemos a caer en el tema Drupal vs WordPress.. No tiene sentido esa comparación. Si me dijeras Drupal vs Joomla ahí si no te digo nada.
Ahora, no es por ser PRO-Wordpress, pero este CMS me ha dado mucho menos dolores de cabeza que los antes mencionados. No solo eso, el ciclo de desarrollo y actualización es mucho mejor que el de Drupal y Joomla. Pero nada, cuestión de gusto supongo.
@paradix, creo que se pudiera modificar el título.
No quiero emitir mi criterio de CMS es mejor, léanlo por ustedes mismos en esta url http://gutl.jovenclub.cu/wordpress-es-el-cms-open-source-mas-seguro/