Drupal vulnerable

Drupal CMS o colador de seguridad

Drupal vulnerableEl tema de la seguridad en un punto vital de mucha importancia a la hora de seleccionar que CMS utilizar para gestionar nuestros Sitios Web, navegando por la red me he topado con la noticia en Hispasec donde notifican sobre la corrección de vulnerabilidades calificadas como críticas que afectan al complicado Drupal en sus versiones versiones 6.x anteriores a 6.29 y 7.x anteriores a 7.24.

El equipo de seguridad de Drupal ha solucionado varios errores de seguridad catalogados como “altamente críticos“, el máximo nivel en su escala de riesgo al ser remotamente explotables y sin necesidad de interacción con el usuario.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

Las vulnerabilidades se detallan a continuación:

CVE-2013-6385
Múltiples errores en la validación contra ataques CSRF en la API de formularios que podrían permitir la ejecución de funciones no seguras.

CVE-2013-6386
Varios fallos en la función mt_rand() podrían generar números pseudoaleatorios predecibles. Dicha función es usada en múltiples módulos del núcleo de Drupal.

CVE-2013-6387
Algunos campos de descripción de imágenes no son correctamente saneados en el módulo Image pudiendo realizarse un ataque XSS.

CVE-2013-6388
Falta de comprobación de valores también en el módulo Color que podría ser aprovechado para realizar un ataque XSS no persistente.

CVE-2013-6389
Error de validación de URLs en el módulo Overlay usado en el panel de administración que podría permitir una redirección HTTP no deseada.

También se ha corregido un salto de restricciones de seguridad en la función drupal_valid_token() a través de un token que no sea de tipo cadena y otro fallo de configuración en los archivos ‘.htaccess‘ proporcionados por Drupal que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.

Afecta a las versiones 6.x anteriores a 6.29 y 7.x anteriores a 7.24, se recomienda su inmediata actualización.

Fuente : Hispasec

¿Te resultó interesante? Compártelo ...



Juan Pablo Pérez Manes

Publicado por Juan Pablo Pérez Manes

Facebook » Forma parte de GUTL desde el 11 febrero, 2012. Licenciado en Informática, Webmaster, Administrador de Redes, Profesor de Informática y Coordinador Provincial de GUTL Matanzas.

Este artículo tiene 20 comentarios

  1. Parece que todo sistema es seguro hasta que un experto en seguridad lo revisa 😉
    Con frecuencias se descubren errores en todos los softwares,es importante hacer las actualizaciones y que los desarrolladores tengan almenos nociones basicas de seguridad.

  2. Aunque creo que los Frameworks Frameworks sean = de vulnerables, siempre se puede agregar seguridad personalizada sin muchos problemas

      • pues… no se, pero en mi centro de trabajo tenemos la intranet montada en drupal y no nos complico la vida en ningun sentido pues casi todos los modulos que necesitamos ya estaban publicado en su sitio web, como todo CMS tiene sus problemas de seguridad pero bueno, cual no los tiene?

          • A mi no me gusta comparar a drupal y a wordpress, ambos tienen sus ventajas y desventajas, wordpres es muy fácil de utilizar y de aprender, pero drupal es mucho mas robusto, y con el se pueden hacer cosas que con wordpress costaría mucho trabajo, en lo personal, prefiero (y recomiendo) utilizarlos indistintamente en dependencia de lo que se quiera hacer.

            Saludos.

          • pero hombre es que ambos aunque sean CMS estan creados para fines distintos a mi no se me ocurriria crear un blog con drupal aunque este tenga modulos para esto, no se deben comparar a ambos, no se, seria comparar un limon con una naranja. Ambos saben distintos? pues claro si no son lo mismo jajajaja

  3. Creo que el titulo pudo haberse quedado en «Multiples vulnerabilidades en Drupal», Drupal puede ser complicado pero eso de referirlo como «colador de seguridad» lo veo poco etico

    • Usted tiene toda la razón @paradix, lo mismo pienso yo. El titulo esta alejado de la verdad. Primero es vulgar, segundo no es la realidad y es especulativo.

      En cuanto a seguridad Drupal dista mucho de ser inseguro, al contrario es mucho mas seguro y robusto que WordPress. No me gusta comprar las cosas, pero si algo tiene Drupal es que por ser complejo mantiene alejado a los «novatos», cosa que WordPress arrastra con su popularidad, pues el core de WP es bueno pero la cantidad de fallos que tiene y se rectifican versión tras versión y la inseguridad que le genera la cantidad de plugins, themes, etc es 10 veces superior a lo que se puede encontrar en Drupal.

      Para el autor: es bueno saber lo que se escribe y como se escribe para que los lectores tomen en serio lo que escribes. Una muestra de esto puede ser que cuando escribes algo, y sigues cometiendo el mismo error, los lectores te «pasaran la cuenta» y tus artículos serán menos leídos.

      Saludos.

      • @Rafael Castro, mira colega solo te recomiendo que hagas un poco de SFW antes de emitir un criterio, revisa esta url http://gutl.jovenclub.cu/wordpress-es-el-cms-open-source-mas-seguro/

        Con respecto si se de lo que escribo te cuento que estuve 3 años de Webmaster del Portal Atenas de Cultura Provincial en Matanzas que esta realizado en Drupal 4 y bastante trabajo que da cuando tienes por ejemplo que actualizar a una nueva versión y de la 5 a la 6 ni hablar de los dolores de cabeza, con WordPress ya llevo bastante tiempo y no hasta ahora me dado buenos resultados y bastantes ingresos, lo más complicado de un proyecto con un CMS es cuando tienes que entregar el sitio a un cliente y darle un cursito sobre como administrar su sitio, si esta Drupal vas perder mucho tiempo y vas tener bastantes dolores de cabeza.

        Me gustaría saber cuantos sitios tienes realizados y publicados, la experiencia esta muy relacionada con la práctica…

      • Y volvemos a caer en el tema Drupal vs WordPress.. No tiene sentido esa comparación. Si me dijeras Drupal vs Joomla ahí si no te digo nada.

        Ahora, no es por ser PRO-Wordpress, pero este CMS me ha dado mucho menos dolores de cabeza que los antes mencionados. No solo eso, el ciclo de desarrollo y actualización es mucho mejor que el de Drupal y Joomla. Pero nada, cuestión de gusto supongo.

Los comentarios están cerrados.