Estás en:
Drupal: Múltiples Vulnerabilidades
Se han reportado múltiples vulnerabilidades en Drupal que pueden ser aprovechadas para revelar información sensible, evadir restricciones de seguridad y permitir ataques XSS (Cross-Site Scripting).
Versiones Afectadas
Se ven afectadas por estas vulnerabilidades las versiones:
Drupal 5.x
Drupal 6.x
Detalle
Cierta información que es transmitida a través de una URL por el módulo “Forum”, no está correctamente validada antes de ser usada por el usuario. Esto puede ser aprovechado para ejecutar código HTML y/o JavaScript arbitrario en el navegador del usuario.
Una vulnerabilidad es causada debido a que Drupal permite que los usuarios cambien su firma a un formato que no deberÃa ser accesible para ellos. Si el administrador cambia el estilo de comentario por uno más poderoso, esto podrÃa ser aprovechado para realizar ataques de inserción de código JavaScript y/o ejecutar código PHP en forma arbitraria.
Un problema de seguridad es causado debido a que Drupal genera una página que incluye URLs que contienen información sensible, como por ejemplo nombre de usuario y contraseña, luego de un intento de ingreso fallido al sistema por parte de un usuario anónimo. Si el usuario sigue esas URLs, esta información se podrÃa filtrar a otras páginas a través de una referencia a un encabezado HTTP.
Nota: Si el caché de páginas de Drupal es habilitado, se podrÃa revelar el nombre de usuario y la contraseña, engañando al usuario a ingresar a una URL especialmente elaborada.
Impacto
El impacto de esta vulnerabilidad es BAJO.
Recomendaciones
Se recomienda actualizar a las versiones de Drupal 5.19 o Drupal 6.13 (según corresponda con la versión instalada) o aplicar los parches correspondientes.
Drupal 5.19:
http://ftp.drupal.org/files/projects/drupal-5.19.tar.gz
Parche para Drupal 5.18:
http://drupal.org/files/sa-core-2009-007/SA-CORE-2009-007-5.18.patch
Drupal 6.13:
http://ftp.drupal.org/files/projects/drupal-6.13.tar.gz
Parche para Drupal 6.12:
http://drupal.org/files/sa-core-2009-007/SA-CORE-2009-007-6.12.patch
Referencias
Más información sobre esta Alerta:
Aviso Original:
http://drupal.org/node/507572
http://drupal.org/node/507580
Secunia:
http://secunia.com/advisories/35681/
Fuente: ArCERT
Proponer tu RSS para Últimas Noticias
Â
Otros Reportajes:
Informe semanal de Panda Security sobre virus e intrusos 03/07/09 »
Los más comentados:
Peligro instantáneo: La mensajerÃa instantánea y sus problemas de seguridad (12)
Phishing: La nueva moda de las estafas por Internet (10)
Contraseñas: ¿Elegimos bien? (10)
AMD vs. Intel: Pequeña historia de los procesadores (10)
Wireless: Cuando no hacen falta cables, se está menos seguro (8)
