Rynho Zeros Web

Publicidad

Drupal: Múltiples Vulnerabilidades
Se han reportado múltiples vulnerabilidades en Drupal que pueden ser aprovechadas para revelar información sensible, evadir restricciones de seguridad y permitir ataques XSS (Cross-Site Scripting).

Versiones Afectadas
Se ven afectadas por estas vulnerabilidades las versiones:
Drupal 5.x
Drupal 6.x

Detalle
Cierta información que es transmitida a través de una URL por el módulo “Forum”, no está correctamente validada antes de ser usada por el usuario. Esto puede ser aprovechado para ejecutar código HTML y/o JavaScript arbitrario en el navegador del usuario.

Una vulnerabilidad es causada debido a que Drupal permite que los usuarios cambien su firma a un formato que no debería ser accesible para ellos. Si el administrador cambia el estilo de comentario por uno más poderoso, esto podría ser aprovechado para realizar ataques de inserción de código JavaScript y/o ejecutar código PHP en forma arbitraria.

Un problema de seguridad es causado debido a que Drupal genera una página que incluye URLs que contienen información sensible, como por ejemplo nombre de usuario y contraseña, luego de un intento de ingreso fallido al sistema por parte de un usuario anónimo. Si el usuario sigue esas URLs, esta información se podría filtrar a otras páginas a través de una referencia a un encabezado HTTP.

Nota: Si el caché de páginas de Drupal es habilitado, se podría revelar el nombre de usuario y la contraseña, engañando al usuario a ingresar a una URL especialmente elaborada.

Impacto
El impacto de esta vulnerabilidad es BAJO.

Recomendaciones
Se recomienda actualizar a las versiones de Drupal 5.19 o Drupal 6.13 (según corresponda con la versión instalada) o aplicar los parches correspondientes.

Drupal 5.19:

http://ftp.drupal.org/files/projects/drupal-5.19.tar.gz

Parche para Drupal 5.18:

http://drupal.org/files/sa-core-2009-007/SA-CORE-2009-007-5.18.patch

Drupal 6.13:

http://ftp.drupal.org/files/projects/drupal-6.13.tar.gz

Parche para Drupal 6.12:

http://drupal.org/files/sa-core-2009-007/SA-CORE-2009-007-6.12.patch

Referencias
Más información sobre esta Alerta:

Aviso Original:

http://drupal.org/node/507572

http://drupal.org/node/507580

Secunia:

http://secunia.com/advisories/35681/

Fuente: ArCERT

Publicidad

Otros articulos que te pueden interesar

• Drupal: Evasión de restricciones de seguridad
• Joomla!: Múltiples Vulnerabilidades
• Nuevo Fedora Core 4 test 2
• Actualización del kernel para Red Hat Enterprise Linux 5.x
• Fedora Core 6