CSIRT Panamá Aviso 2015-04- Múltiples vulnerabilidades en Drupal
Gravedad: ALTA
Fecha de publicación: Abril, 2015
Fecha de modificación: Abril, 2015
Última revisión: Revisión A.
I. Sistemas Afectados
- Sistemas Afectados para vulnerabilidad Módulo “Views” – Access Bypass
Esta vulnerabilidad es “Critica” para los usuarios que hagan uso del módulo “Views” en el siguiente rango de versiones:
- Módulo Views 7.x-3.x para las versiones desde 7.x-3.5 a 7.x-3.10.
- Sistemas Afectados para vulnerabilidad Módulo “Views” – Cross Site Scripting (XSS)
- Módulo Views 7.x-3.x para las versiones desde 7.x-3.5 a 7.x-3.10.
II. Descripción
El módulo “Views” proporciona un método flexible para los diseñadores de sitios Drupal que permite controlar como se presentan las listas y tablas de contenido, los usuarios, los términos de la taxonomía y otros datos.
Debido a un problema en el mecanismo de almacenamiento en caché es posible que los filtros configurados pierdan su efecto. Esto puede dar lugar a la exposición de contenidos que de otra forma se oculta a los visitantes.
Esta vulnerabilidad es mitigada por el hecho de que no puede ser explotada directamente, sino que se produce cuando se cumplen ciertos requisitos previos.
Los sistemas que utilizan caché backends en memoria como redis / memcache son más propensos a ser afectados por esta vulnerabilidad. Esto es debido a la estrategia común para el manejo espacio libre en la memoria caché.
III. Impacto
Vector de acceso: A través de red – remoto
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total de la integridad del sistema, Compromiso total de la disponibilidad del sistema, Compromiso total de la confidencialidad del sistema.
IV. Detección
Es posible identificar la versión de su instalación de Drupal en el sitio, de forma que le permita conocer si su versión es vulnerable.
http://hackertarget.com/drupal-security-scan/
V. Mitigación
Actualizar el Software con la actualización Views 7.x-3.11
VI. Información Adicional
- https://www.drupal.org/project/views
- https://www.drupal.org/node/2480327
- https://www.drupal.org/node/2480259
- http://007software.net/views-critical-access-bypass-sa-contrib-2015-103/
- http://hackertarget.com/drupal-security-scan/
VII. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: https://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)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=JUYg
—–END PGP PUBLIC KEY BLOCK—–