CSIRT Panamá Aviso 2017-07-Actualización de vulnerabilidades Críticas en Drupal
Fecha de publicación: Marzo, 2017
Fecha de modificación: Marzo, 2017
Última revisión: Revisión A.
Sistemas Afectados
Versión de Drupal: 8.x
Módulo: CKEditor, admin paths y librería de tercero
I. Descripción
Drupal ha liberado actualizaciones para la corrección para tres vulnerabilidades hacia su CMF (Content Management Framwork).
Primero CVE-2017-6377, un problema de fallo en el módulo CKEditor para comprobar el acceso a archivos privados el cual puede permitir un salto de la autenticación.
Segundo CVE-2017-6379, una falla en algunas rutas administradas el cual puede permitir ataques CSRF (Cross Site Request Forgey).
Tercero CVE-2017-6381, las librerías de desarrollo por terceros con dependencia a ejecución remota. El mismo puede ser mitigado por la protección de htaccess contra ejecución por defecto de PHP y las dependencias de Composer, que no están instaladas por defecto. También se puede eliminar el directorio /vendor/phpunit para el ambiente de producción, una vez verificado que no sea de afectación a su aplicación.
II. Impacto
Un atacante remoto no autenticado podría ejecutar código remoto de manera arbitraria afectando la disponibilidad, integridad y confidencialidad de un sitio web afectado.
III. Referencia a soluciones, herramientas e información
https://www.drupal.org/SA-2017-001
https://www.drupal.org/project/drupal/releases/8.2.7
https://www.drupal.org/blog/making-drupal-upgrades-easy-forever
IV. Información de Contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://www.cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124