Vulnerabilidad critica en Drupal – Parche disponible

Vulnerabilidad en Drupal
Un bug de SQL Injection publicado ya hace un par de semanas esta siendo explotado masivamente de manera automatizada.

Una vulnerabilidad critica permitiría a un atacante realizar SQL Injection en las versiones inferiores a 7.32 y superiores a 7.0 de Drupal.

La explotación se realiza sin necesidad de estar autenticado en la plataforma a través de las funciones que previenen los ataques de SQL Injection.

La vulnerabilidad catalogada como CVE-2014-3704 utiliza como vector de ataque la función expandArguments en la API de abstracción de base de datos en el núcleo de Drupal Version 7.X la cual no construye adecuadamente las sentencias y permitiría usar arreglos con claves manipuladas para ejecutar exitosamente un ataque de SQL Injection. El equipo de Drupal ya ha lanzado la versión 7.32 que corrige el fallo y tambien un parche en el caso de que no puedas actualizar a la ultima versión, el cual debes aplicar en database.inc para corregir la vulnerabilidad hasta que te sea posible actualziar. Ademas, también ha publicado las recomendaciones a seguir si tu sitio ha sido comprometido.

Ya que este ataque permitiría crear puertas traseras en los sitios afectados, en el reporte se indica que no basta con actualizar, ya que podrían existir puertas traseras ocultas muy difíciles de detectar. El equipo informa que todo sitio basado en Drupal 7.X que haya sido actualizado o parchado después del 15 de octubre, debe ser tratado como un sitio comprometido y se debe proceder con cautela. En la pagina de Drupal indican algunas medidas para proceder si tu sitio se encuentra comprometido.

Quizás te interese:   Un nuevo dispositivo diagnostica el VIH en minutos y no días

Finalmente se invita a todos los WebMasters a actualizar sus sitios inmediatamente para protegerse de este ataque que aparentemente esta siendo explotado de manera automatizada.

Fuente: Segu-Info

Añadir Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.