Actualizado software del sitio

Imagen de admin
Enviado por admin en

Foros: 

Kriptópolis ha dejado de estar accesible durante aproximadamente una hora ante la necesidad urgente de actualizar su software para corregir varias vulnerabilidades publicadas ayer mismo. Mil disculpas.

[Security-news] Ni lo había notado

Lo he visto aquí, donde también se publica esta otra corrección que enlazo por si también fuera de interés:

View online: http://drupal.org/node/1870550
.
* Advisory ID: DRUPAL-SA-CONTRIB-2012-174
* Project: Context [1] (third-party module)
* Version: 6.x, 7.x
* Date: 2012-12-19
* Security risk: Less critical [2]
* Exploitable from: Remote
* Vulnerability: Information Disclosure

Gracias admin, ni siquiera había notado la no disponibilidad de Kriptópolis.

[Security-news] Drupal: vulnerabilidades publicadas ayer

En el sitio de Drupal -el software libre usado en Kriptópolis para la gestión y publicación electrónica (o web) de sus contenidos- han sido publicadas ayer mismo las siguientes vulnerabilidades:

SA-CONTRIB-2013-001 - Search API - Cross Site Scripting
===========================================
View online: http://drupal.org/node/1884332
.
* Advisory ID: DRUPAL-SA-CONTRIB-2013-001
* Project: Search API [1] (third-party module)
* Version: 7.x
* Date: 2013-January-09
* Security risk: Moderately critical [2]
* Exploitable from: Remote
* Vulnerability: Cross Site Scripting
.
-------- DESCRIPTION ---------------------------------------------------------
.
This module enables you to build searches using a wide range of features, data sources and backends.
.
The module doesn't sufficiently sanitize user input when displaying errors in a view with certain backends, including the database backend.
.
This enables attackers to create a Reflected Cross Site Scripting attack by manipulating the URL. This is mitigated by the fact that the vulnerability only occurs with some backends (the Solr backend, e.g., is safe) and for certain common configurations of facets. The module also doesn't sufficiently sanitize output field names in the admin view.
.
This is mitigated by the fact that an attacker would have to have the necessary permissions to change the field names of an indexed entity type.
.
[...]
.
-------- VERSIONS AFFECTED ---------------------------------------------------
.
* Search API 7.x-1.x versions prior to 7.x-1.4.
.
Drupal core is not affected. If you do not use the contributed Search API [4] module, there is nothing you need to do.
.
[...]
[4] http://drupal.org/project/search_api
[...]

SA-CONTRIB-2013-002 - Payment - Access Bypass
.
View online: http://drupal.org/node/1884360
.
* Advisory ID: DRUPAL-SA-CONTRIB-2013-002
* Project: Payment [1] (third-party module)
* Version: 7.x
* Date: 2013-January-09
* Security risk: Moderately critical [2]
* Exploitable from: Remote
* Vulnerability: Access bypass

Lo que pongo aquí aprovechando la entrada existente por si fuera de interés.

Saludos cordiales,

Pedro Fernández
--

P.S.

...las actualizaciones de seguridad de Drupal, siempre hay que distinguir entre problemas del core y problemas de los módulos de terceras partes. Los del core obligan a actualizar todo el sistema sin excusas, mientras que los módulos ("third party modules" en los avisos) sólo se actualizan cuando resultan afectados los que estás utilizando en tu sitio.

admin dixit.

opinar

Más información sobre los formatos de texto

Texto puro

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
By submitting this form, you accept the Mollom privacy policy.
Cifrando tus datos...