El equipo de seguridad de Drupal ha publicado una actualización para todas las versiones de Drupal 8.x anteriores a 8.5.6 que corrige varias vulnerabilidades en librerías de terceros incluidas en Drupal Core.
Las versiones anteriores a 8.5.x están fuera de ciclo de vida y no recibirán actualizaciones.
Vulnerabilidad crítica en Symfony
La vulnerabilidad, con identificador CVE-2018-14773, reside en un componente de una librería, llamada Symfony HttpFoundation component, el cual el núcleo de Drupal usa y afecta a las versiones anteriores a la 8.5.6.Como Symfony está siendo usado actualmente en miles de proyectos, la vulnerabilidad puede poner en potencial riesgo a todos estos.
De acuerdo con un aviso de Symfony, la vulnerabilidad residía en el propio soporte para las cabeceras HTTP.
Un ataque de forma remota puede ser creado específicamente con una petición de cabecera HTTP de valor «X-Original-URL» o «X-Rewrite-URL», el cual ignora la ruta solicitada en la cabecera para saltarse las restricciones de acceso y provocar que el propio sistema objetivo sirva una URL distinta.
La vulnerabilidad ha sido parcheada en las versiones de Symfony 2.7.49, 2.8.44, 3.3.18, 3.4.14, 4.0.14, y 4.1.3, además de que Drupal ha parcheado este fallo en su última versión, la 8.5.6.
Luego, el equipo de Drupal encontró la misma vulnerabilidad en las librerías de Zend, Zend Feed y Diactoros incluidas en el núcleo del CMS, y a lo que han llamado «URL Rewrite vulnerability».
Las librerias Symfony, Zend Feed y Diactoros incluidas en el core de Drupal han realizado una actualización de seguridad para corregir una vulnerabilidad por la utilización de cabeceras HTTP obsoletas o que suponen un riesgo. El core de Drupal solo utiliza esta funcionalidad en la librería Symfony. Puede consultar el detalle del aviso de esta librería en su pagina web. Aunque Drupal core no utiliza la funcionalidad vulnerable de las librerías Zend Feed y Diactoros, si su sitio web utiliza estos módulos, debe revisar su aviso de seguridad.
Fuente: blog.segu-info.com.ar