Los mantenedores del popular sistema de administración de contenido Drupal han lanzado actualizaciones de seguridad para varias de las versiones actuales que corrigen numerosas vulnerabilidades, incluido un error que permite la descarga de archivos arbitrarios en algunos casos.
La falla de carga de archivos afecta a Drupal 8.8.x y 8.7.x y se debe a que el CMS no eliminó el punto inicial de los nombres de archivo durante el proceso de carga. Como resultado, un atacante podría crear un archivo que le permitiría obtener la ejecución remota de código en un servidor de destino.
«Drupal 8 ya no elimina el punto inicial («.») del nombre del archivo al cargarlo como lo hizo Drupal 7. Los módulos u otro código que dependa del comportamiento de Drupal 7 como control de seguridad pueden volverse vulnerables cuando se usan con Drupal 8”, se lee en un aviso. de Aon, quien descubrió la vulnerabilidad.
«Por ejemplo, Drupal 8 con un módulo de carga de archivos como IMCE que se ejecuta bajo la configuración predeterminada con un servidor web Apache, permite que los usuarios administrativos autenticados carguen un archivo .htaccess que puede modificar las extensiones del archivo ejecutable del servidor para lograr la ejecución remota del código.
Drupal cataloga la vulnerabilidad como moderadamente crítica, pero el aviso de Aon deja en claro que el error puede tener graves consecuencias, incluso si es explotado por alguien que no sea un administrador.
“En algunas configuraciones, este problema también puede ser aprovechado por usuarios no administrativos. Esto se debe a un cambio en la función file_save_upload entre Drupal 7 y Drupal 8. El siguiente fragmento de código de Drupal 7.6.7 usa la función de recorte para eliminar los puntos de inicio y fin de la entrada de nombre del archivo”, dice el aviso de Aon.
Por el contrario, la función file_save_upload de Drupal 8 no llama a trim y permite nombres de archivo con puntos de inicio y finalización. Este cambio en el comportamiento predeterminado puede generar vulnerabilidades de seguridad en los casos en que los módulos u otro código se basan en el comportamiento anterior como control de seguridad. Por ejemplo, IMCE asume incorrectamente que el núcleo de Drupal 8 evita la descarga de un archivo .htaccess malicioso como lo hizo Drupal 7.
Drupal lanzó las versiones 8.7.11 y 8.8.1 para corregir la vulnerabilidad. También hay arreglos para varios otros errores incluidos en estas versiones, incluido un arreglo para un conjunto crítico de errores en la forma en que Drupal maneja varios tipos de archivos comunes, como .tar, .tar.gz, .bz2 o .tlz. archivos. Drupal también parchó una falla separada que puede corromper la información almacenada en caché.
“Una visita a install.php puede conducir a la corrupción de los datos almacenados en caché. Esto podría hacer que un sitio se deteriore hasta que se reconstruyan los cachés”, afirma el aviso de Drupal.
Foto bajo licencia CC By-SA 2.0 de Ixis IT.