{"id":940,"date":"2017-03-21T15:01:40","date_gmt":"2017-03-21T20:01:40","guid":{"rendered":"https:\/\/cert.pa\/?p=940"},"modified":"2017-03-21T15:02:37","modified_gmt":"2017-03-21T20:02:37","slug":"csirt-panama-aviso-2017-07-actualizacion-de-vulnerabilidades-criticas-en-drupal","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=940","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2017-07-Actualizaci\u00f3n de vulnerabilidades Cr\u00edticas en Drupal"},"content":{"rendered":"

CSIRT Panam\u00e1 Aviso 2017-07-Actualizaci\u00f3n de vulnerabilidades Cr\u00edticas en Drupal
\nFecha de publicaci\u00f3n: Marzo, 2017
\nFecha de modificaci\u00f3n: Marzo, 2017
\n\u00daltima revisi\u00f3n: Revisi\u00f3n A.<\/p>\n

Sistemas Afectados
\nVersi\u00f3n de Drupal: 8.x
\nM\u00f3dulo: CKEditor, admin paths y librer\u00eda de tercero<\/p>\n

I. Descripci\u00f3n
\nDrupal ha liberado actualizaciones para la correcci\u00f3n para tres vulnerabilidades hacia su CMF (Content Management Framwork).
\nPrimero CVE-2017-6377, un problema de fallo en el m\u00f3dulo CKEditor para comprobar el acceso a archivos privados el cual puede permitir un salto de la autenticaci\u00f3n.
\nSegundo CVE-2017-6379, una falla en algunas rutas administradas el cual puede permitir ataques CSRF (Cross Site Request Forgey).
\nTercero CVE-2017-6381, las librer\u00edas de desarrollo por terceros con dependencia a ejecuci\u00f3n remota. El mismo puede ser mitigado por la protecci\u00f3n de htaccess contra ejecuci\u00f3n por defecto de PHP y las dependencias de Composer, que no est\u00e1n instaladas por defecto. Tambi\u00e9n se puede eliminar el directorio \/vendor\/phpunit para el ambiente de producci\u00f3n, una vez verificado que no sea de afectaci\u00f3n a su aplicaci\u00f3n.<\/p>\n

II. Impacto
\nUn atacante remoto no autenticado podr\u00eda ejecutar c\u00f3digo remoto de manera arbitraria afectando la disponibilidad, integridad y confidencialidad de un sitio web afectado.<\/p>\n

III. Referencia a soluciones, herramientas e informaci\u00f3n
\nhttps:\/\/www.drupal.org\/SA-2017-001
\nhttps:\/\/www.drupal.org\/project\/drupal\/releases\/8.2.7
\nhttps:\/\/www.drupal.org\/blog\/making-drupal-upgrades-easy-forever<\/p>\n

IV. Informaci\u00f3n de Contacto
\nCSIRT PANAMA
\nComputer Security Incident Response Team Autoridad Nacional para la
\nInnovacion Gubernamental
\nE-Mail: info@cert.pa
\nPhone: +507 520-CERT (2378)
\nWeb: https:\/\/www.cert.pa
\nTwitter: @CSIRTPanama
\nFacebook: http:\/\/www.facebook.com\/CSIRTPanama
\nKey ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"

CSIRT Panam\u00e1 Aviso 2017-07-Actualizaci\u00f3n de vulnerabilidades Cr\u00edticas en Drupal Fecha de publicaci\u00f3n: Marzo, 2017 Fecha de modificaci\u00f3n: Marzo, 2017 \u00daltima revisi\u00f3n: Revisi\u00f3n A. Sistemas Afectados Versi\u00f3n de Drupal: 8.x M\u00f3dulo: CKEditor, admin paths y librer\u00eda…<\/p>\n","protected":false},"author":4,"featured_media":941,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-940","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/940","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=940"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/940\/revisions"}],"predecessor-version":[{"id":942,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/940\/revisions\/942"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/941"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=940"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=940"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=940"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}