Comenzando el 2014 llegan malas noticias para los usuarios del potente CMF Drupal, tres nuevas vulnerabilidades atentan contra la seguridad de lo sitios que utilizan las versiónes del Core 6 y 7, estas vulnerabilidades se vienen a sumar a otras encontradas finalizando el 2013.
El equipo de seguridad de Drupal ha solucionado varias vulnerabilidades en Drupal Core 6 y 7 que podrían ser aprovechadas por atacantes para saltar restricciones de seguridad, revelar información sensible e incluso suplantar la identidad de cuentas de usuario.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Aunque ninguna de estas vulnerabilidades tiene aún CVE asignado, podemos clasificarlas según su nivel de criticidad:
* Nivel alto
Un error en el módulo ‘OpenID’ podría ser aprovechado por un atacante remoto para causar una suplantación de identidad de otras cuentas de usuario.
* Nivel moderado
Un error en el módulo ‘Taxonomy’ podría mostrar contenido aún sin publicar a usuarios no autorizados. Lo cual podría ser aprovechado por un atacante remoto para revelar información sensible.
* Nivel bajo
Un error en la función ‘drupal_form_submit()’ de la API para formularios, permitiría el envío programado de formularios sin verificar
sus elementos. Un atacante remoto podría aprovechar este error para saltar restricciones de seguridad con la ayuda de formularios especialmente manipulados.
Afecta a las versiones 6.x anteriores a 6.30 y 7.x anteriores a 7.26, se recomienda su inmediata actualización.
Más información:
SA-CORE-2014-001 – Drupal core – Multiple vulnerabilities
https://drupal.org/SA-CORE-2014-001
Fuente:
http://unaaldia.hispasec.com/2014/01/multiples-vulnerabilidades-en-drupal.html#comments
¿Te resultó interesante? Compártelo ...
¿Porque malas noticias para los drupaleros? al contrario, muy buenas noticias, se han encontrado vulnerabilidades y se han solucionado ….. @jppm parece que dijeras «odiaras drupal por sobre todas las cosas» 😉
El autor del post Mr. JPPM otra vez más desata su furia contra otro CMS que no es WordPress, en este caso otra vez más es Drupal.
Parece que el no conoce que el CMS mas atacado y explotado del mundo es WordPress, tambien el más vulnerable. Miles de sitios son hackeados a diario, y sabes que usan WordPress, ya sea por estar desactualizados, plugins viejos, servidores web mal protegidos, etc. Pero WordPress es el Windows de los CMS.
Si, @paradix se nota un poco de odio. En su otro articulito llamo a Drupal «coladero de seguridad», ese nombre dejam mucho que desear.
Si hay alguien que utiliza WordPress casi 24/7 ese soy yo y reconozco que la mayor coladera de seguridad en el 2013 en el mundo de los CMS ha sido WordPress. Por los múltimpes problemillas que ocurrieron en GUTL y otras Web afines en Cuba me puse a buscvar bastante sobre el tema y en este 2013 se pasaron un poco abusando de las vulnerabilidades de WordPress. Drupal en cuanto a seguridad le da un millón de papazos (como dicen los chamas del barrio) a WordPress
No odio a Drupal, sería algo muy estúpido hacerlo, aunque hay muchas gentes que si lees sus comentarios parecería que odiaran a Windows, creo que Drupal es un sistema bastante potente pero últimamente esta teniendo demasiadas vulnerabilidades para mi gusto..
Mr. Rafel Castro estas tan lleno de estadísticas en contra de WordPress y me pregunto si drupal ya ha implementado las actualizaciones automáticas, los ataques a los sitios no son solo culpa de los CMS sino que también hay que tener en cuenta el factor humano, y con el tema del odio es un poco estúpido odiar un Software no crees.
Concuerdo con @paradix, detectar y solucionar vulnerabilidades, antes de que sean explotadas, demuestra que existen un equipo de desarrollo y una comunidad activa. Cuando se comienzan a explotar las vulnerabilidades antes de resolverlas, ahí si hay un problema.
En el caso de Drupal si, pero WordPress lanza versiones frecuentes no para añadir nuevas funciones, sino para corregir miles de vulnerabilidades. No tengo nada contra WordPress, lo uso y me gusta, pero no puedo quedarme callado cuando alguien trata de publicar cosas para confundir a los miles de usuarios desconectados en la Intranet cubana.
Bueno Rafa si tu dices que WordPress lanza versiones sin hacer grandes cambios deberás darte cuenta que los grandes CMS del mercado han tenido que renovar sus interfaces administrativas ya que WordPress revoluciono esta área tan descuidada sobre todo por Drupal.
Lo que no sabes es que el core 6 de Drupal salio en 2008 y el core 7 fue en 2011 son varios años con una vulnerabilidad crítica, el tema que descubran y arreglen las vulnerabilidades no quita que antes de su descubrimiento hayan podido ser explotadas.
Aunque al parecer estas vulnerabilidades surgen a la vista a raiz de una revisión provocada por las fallas del pasado año. Al menos es evidente que están dando una buena mirada a las versiones un poco ‘descuidadas’ por el desarrollo de la nueva versión.
Pero como dicen antes: mejor que sean detectadas antes de explotadas masivamente.
de todas formas, drupal sigue siendo un exelente CMF(más lo será con Symfony!!!)
Y ya estamos de nuevo con la tontería Drupal vs WordPress. Cansado, aburrido, me tienen ya de decir que NO SON LO MISMO. No lo comparen más. Wordpres es un CMS y Drupal un CMF, con objetivos bien claros y diferentes..
Venga, vamos a armar el flame Drupal vs Zope-Plone