Denegación de servicio en Drupal

Fecha de publicación:

07/08/2014

Importancia:

3 - Media

Recursos afectados:

Drupal core 7.x anteriores a 7.31
Drupal core 6.x anteriores a 6.33

Descripción:

Se ha hecho pública una vulnerabilidad de denegación de servicio que afecta a todos los sitios web con Drupal (al igual que a Wordpress), y permite a un atacante consumir la CPU y memoria del sistema consiguiendo que las conexiones de la base de datos alcancen el límite de conexiones abiertas.

Solución:

Actualizar a versiones 7.31 o 6.33

Detalle:

La vulnerabilidad en el servicio XML-RPC (a través de xmlrpc.php), afecta al parser XML que utiliza, el cual es vulnerable a ataques de expansión de entidad XML y otros ataques relacionados con XML.

Una vulnerabilidad similar afecta al módulo OpenID.

Referencias:

SA-CORE-2014-004 - Drupal core - Denial of service

Etiquetas:

Vulnerabilidad

Actualización

Accesos corporativos

Denegación de servicio en Drupal

Campaña de distribución de software troyanizado contra 3CX DesktopApp

Múltiples vulnerabilidades en Samba

Múltiples vulnerabilidades en router Netgear Orbi

Múltiples vulnerabilidades en productos Aspera Faspex de IBM

Múltiples vulnerabilidades en Moodle