La gente de Hispasec nos avisa de una nueva actualización de seguridad en Drupal, un CMS (Content Management System) o mejor definido CMF (Content Management Framework) del que disfrutamos y bastante. Se trata de algo más que un CMS ya que el nivel de personalización que puede llegar a conseguirse vía programación es mucho mayor del que disfrutamos en WordPress u otros CMS como Joomla, TYPO3 o Xoops, por mencionar algunos de los muchos existentes.

Os copypasteo la nota que ha publicado Hispasec en su boletín “una al día”:

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

A continuación un breve resumen de los fallos corregidos:

El primer fallo tiene asignado el CVE-2017-6926 y podría permitir a un atacante remoto los permisos adecuados para la publicación de respuesta en un post, acceder a información para la que no tenga privilegios e incluso comentar en él.

La segunda vulnerabilidad, CVE-2017-6927, se debe a un fallo en el sistema de protección de XSS, concretamente en la función Drupal.checkPlain(). Bajo ciertas circunstancias un atacante podría saltarse la función de escapado permitiendo la inclusión de código.

El fallo identificado con CVE-2017-6928, podría permitir, bajo ciertas circunstancia, la descarga de ficheros no autorizados para el usuario, a través de su gestor de ficheros.

Una vulnerabilidad de cross site scripting cuando se acede a dominios no verificados desde jQuery, identificada con el CVE-2017-6929.

Un fallo al usar el control de lenguaje en sistemas Drupal multilenguaje en función del origen, y forzar un lenguaje sin traducción disponible podría ocasionar el acceso a información no autorizada. Esta vulnerabilidad está asociada con el CVE-2017-6930.

Un fallo en el módulo de la bandeja de ajuste podría permitir a un usuario modificar información para la que no tendría privilegios. Este fallo está identificado bajo CVE-2017-6931.

Y por último, identificada con el CVE-2017-6932. Un fallo cuando el bloqueador de selector de idioma está activado, podría permitir la inclusión de una web externa en la web de error 404.

Los problemas afectan a las ramas 8 y 7 de Drupal. Se recomienda la actualización a Drupal 8.4.5 y 7.57 respectivamente.

 
Más información:
Si os llama la atención el hecho de que hablen de dos versiones diferentes con la actualización de seguridad (8.4.5 y 7.57), os lo explico. Una de las cosas cosas sorprendentes en Drupal es la existencia de 3 ramas distintas la 6.x, 7.x y 8.x.
 
La primera, la 6.x, es la que en breve dejará de tener soporte y por tanto, si queréis jugar un poco con Drupal, es la que no conviene usar ya que su vida util no será muy larga.
 
Las versiones 7.x y 8.x tienen algunas diferencias sensibles, tanto a nivel de arquitectura como de compatibilidad con módulos y themes, que en su inmensa mayoría son gratuitos.
 
La rama 7.x es la que mantiene un mayor número de módulos y themes operativos y es posiblemente la rama más utilizada en estos momentos.
 
La rama 8.x es la última en aparecer y la que está acumulando más novedades y nuevas implementaciones en su core, incorporando funciones/funcionalidades que en las versiones anteriores solamente se podían conseguir vía módulos. No tiene tantos módulos y themes como la versión 7.x pero no desmerece nada en absoluto.
 
Ah, Drupal está traducido al castellano y euskara. Un buen detalle a tener en cuenta.
Actualización de seguridad en Drupal, ¡a actualizar toca!
Valora este artículo
Redimensionar fuente/letra
Contraste