El pasado 18 de diciembre el equipo de desarrollo de Drupal lanzó actualizaciones de seguridad importantes para su herramienta de administración de contenido de código abierto. Estas actualizaciones corrigen una vulnerabilidad crítica y otras tres «de criticidad leve».
Vulnerabilidad crítica: Symlinks
Las recomendaciones para la única vulnerabilidad crítica descubierta incluyen parches para varios errores en una librería de terceros llamada «Archive_Tar«, el cual es usado por el núcleo de Drupal para crear, listar, extraer, y añadir documentos a archivos tar.
La vulnerabilidad está relacionada con la forma en la que la librería afectada extrae los archivos tar con symlinks. En caso de ser aprovechada por un atacante, podría permitir a este último sobrescribir archivos en servidores al subir un archivo malicioso personalizado.
Esto solo afecta a los sitios web que hacen uso de Drupal y que están configurados para procesar archivos .tar, .tar.gz, .bz2 o .tlz cuando son subidos por usuarios no verificados.
Según los desarrolladores de Drupal, existe un exploit para esta vulnerabilidad, el cual ha sido utilizado durante una prueba de concepto (PoC).
Vulnerabilidades de criticidad leve
- Denegación de Servicio (DoS): el archivo install.php usado por Drupal 8 contiene un fallo que puede ser explotado de manera remota y sin necesidad de autenticación, permitiendo poner en riesgo la disponibilidad del sitio web atacado corrompiendo los datos de la caché.
- Bypass de la restricción de seguridad: la función de subida de archivos de Drupal 8 no «sanitiza» los puntos (‘.’) en los nombres de los archivos, lo cual puede ser usado por un atacante que, aprovechando la opción de subida de documentos, podría sobrescribir los archivos de sistema que quisiera, como por ejemplo .htaccess para saltarse las protecciones de seguridad.
- Acceso no autorizado: esta vulnerabilidad existe en la librearía «Media» que viene en Drupal por defecto. Se da cuando no se restringe correctamente el acceso a archivos del tipo mencionado en ciertas configuraciones. De este modo, la vulnerabilidad podría permitir a un usuario con pocos privilegios obtener acceso sin necesidad de autorización a información sensible que, en circunstancias normales, no podría ver ni modificar.
Según los desarrolladores de Drupal, quienes se han visto afectados pueden mitigar la vulnerabilidad de bypass de restricción de seguridad desactivando la opción «Habilitar UI avanzada» en /admin/config/media/media-library, aunque esta solución no está disponible en la versión 8.7.x.
Las vulnerabilidades de «criticidad leve» han sido solventadas con el lanzamiento de las versiones de Drupal 8.7.11 y 8.8.1, y, a fecha de publicación de la fuente original de este artículo, no existía ninguna PoC disponible para dichos fallos.
Debido a que sí que existe una PoC para la vulnerabilidad crítica mencionada con anterioridad, los usuarios que tienen instaladas versiones vulnerables de Drupal deberían actualizar a la última versión lo antes posible. Se recomienda que para evitar ataques por parte de usuarios malintencionados se actualice a las versiones 7.69, 8.7.11 u 8.8.1.
Para mayor información: