¿Cómo corregir la última vulnerabilidad de Drupal?

Estos últimos días nos han informado de una actualización muy importante para la rama 7 de Drupal, cuyo objetivo es solucionar una vulnerabilidad que permitía la ejecución de código arbitrario mediante inyección de SQL.

Esta vulnerabilidad de Drupal consistía en un error el cual se encontraba en la API diseñada específicamente para prevenir y evitar ataques de inyección de SQL en la aplicación.

Una vulnerabilidad en esta API permite a un atacante enviar solicitudes especialmente diseñadas para la ejecución de SQL arbitrario. En función del contenido de las solicitudes, esto podría facilitar el acceso a los atacantes y facilitar la ejecución de PHP arbitrario, u otros ataques.

Esta vulnerabilidad puede ser explotada por usuarios anónimos y debemos prevenir y aportar soluciones a este problema.
Es importante tener en cuenta la siguiente información:

Identificador (s) CVE emitido:
CVE-2014-3704

Las versiones afectadas:
Versiones de Drupal core 7.x anteriores a 7.32.

Solución a aplicar:
Tenemos dos opciones posibles para solucionar esta vulnerabilidad:
1- Podemos instalar la última versión de Drupal disponible así que si utilizamos Drupal 7.x, actualizar a Drupal core 7.32.
2. En el caso de que no pudiéramos actualizar a Drupal 7.32 podríamos aplicar esta corrección propuesta por el equipo de Drupal.  Deberá aplicarse al archivo database.inc de Drupal para arreglar la vulnerabilidad hasta el momento en que podamos actualizar completamente a Drupal 7.32.

Deja un comentario