9.9 C
Madrid
miércoles, diciembre 4, 2024
spot_img

La vulnerabilidad Drupal CMS permite a los piratas informáticos tomar el management whole de su sitio internet

La vulnerabilidad de saneamiento de entrada, un descuido que permite la ejecución de código arbitrario, fue parcheada por los desarrolladores de Drupal el miércoles.

¿Estás creando una presentación, un tono o una presentación? Aquí están las grandes conclusiones:

  • Drupal reparó el miércoles un descuido que provocó que las entradas no se desinfectaran.
  • La vulnerabilidad es extremadamente trivial de explotar, lo que hace que la aplicación de parches a las instalaciones activas sea crítica.

Una falla en el saneamiento de entrada provocó una ronda de parches de emergencia para Drupal el miércoles. El parche se anunció con una semana de anticipación para que los administradores tuvieran tiempo de prepararse, en medio de la preocupación de que se pudieran desarrollar exploits «a las pocas horas o días» del lanzamiento del parche.

La vulnerabilidad se relaciona con un conflicto entre el manejo de PHP de matrices en parámetros y el uso de Drupal del hash (#) al comienzo de las claves de matriz para indicar claves especiales que generalmente resultan en cálculos adicionales, lo que resulta en código que se puede agregar arbitrariamente a la seguridad de Drupal. aviso. La explotación de esta vulnerabilidad no requiere autenticación, solo requiere visitar una página con una URL creada con fines malintencionados.

VER: Política de actualización del sistema (Tech Professional Analysis)

Como resultado, en la instalación de Drupal, el parche solo agrega un management de higiene a /contains/bootstrap.inc. Se proporcionaron parches para las ramas 8.5.x y 7.x, así como para las ramas del software program 8.4.x, 8.3.x y 6.x que de otro modo no serían compatibles, según el aviso. De acuerdo con la página de estadísticas de uso de Drupal, el software program opera alrededor de 1,1 millones de sitios internet.

Aunque no se conocía ningún exploit en el momento en que se lanzó el parche, la vulnerabilidad se calificó con un nivel de gravedad de 21 de 25 según Drupal. Originalmente descubierta por el investigador druida Jasper Mattsson, se le otorga la ID CVE-2018 -7600 de MITRE, SA-CORE-2018-002 de Drupal y «Drupalgeddon 2: Electrical Hashaloo» del destacado programador Scott Arciszewski, entre otros miembros de Drupal. Comunidad.

La importancia de las actualizaciones de software program

Las actualizaciones de software program para los sistemas de administración de contenido son particularmente importantes dada la naturaleza pública de tales plataformas y el daño que se puede causar si un atacante toma el management de una. Las instalaciones de CMS no seguras han llevado a la implantación masiva de ataques de minería de criptomonedas basados ​​en JavaScript, cuya popularidad se disparó en el primer trimestre de 2018.

Lectura esencial sobre seguridad.

En el caso de Drupal, desde 2014, la vulnerabilidad authentic «Drupalgeddon» se ha considerado parte integral de cómo los documentos de los «Papeles de Panamá» relacionados con el ahora desaparecido bufete de abogados Mossack Fonseca fueron exfiltrados de la organización. Los Papeles de Panamá fueron una publicación de 11,5 millones de documentos, un whole de 2,6 terabytes de datos, que detallaban la información de abogados y clientes de más de 200.000 empresas extraterritoriales, algunas establecidas como esquemas de evasión de impuestos.

Se descubrió que el portal de clientes operado por Mossack Fonseca usaba Drupal 7.23, que se lanzó en agosto de 2013 cuando estalló la historia en abril de 2016. Drupal se ha estado ejecutando en la bifurcación Apache 2.2.15 de Oracle desde el 6 de marzo de 2010. La configuración predeterminada en el servidor internet Oracle Apache permite ver la estructura del directorio. Debido a que los archivos de Drupal usan la extensión de archivo .module, que Apache no ejecuta de manera predeterminada, cualquier usuario puede ver la fuente de los archivos del módulo en texto claro, así como también ver el directorio donde se ubican los archivos del módulo. Esto condujo al descubrimiento del módulo «Portafolio», aparentemente destinado a permitir a los clientes ver sus archivos.

Artículos relacionados

Dejar respuesta

Please enter your comment!
Please enter your name here

- Anuncio -spot_img

Últimos artículos

3,913SeguidoresSeguir
0suscriptoresSuscribirte