El equipo de seguridad de Debian acaba de publicar una advertencia de seguridad para el popular sistema de gestión de contenidos (CMS) Drupal.

Como hemos dicho anteriormente, los CMS y los software de foros online (aplicaciones que te permiten diseñar, crear, almacenar, editar, mantener tu propia web) son un objetivo prioritario para los cibercriminales.

No en vano, si un hacker entra en tu CMS, puede subir su código malicioso y sus páginas web infectadas a tu servidor, y tu web estará distribuyendo malware a tus lectores.

Tu pones la marca, la reputación, los URL y el ancho de banda, mientras que él ni se tiene que preocupar por como introducir su código, simplemente tiene que hacer clic de la misma manera que tu gestionas tu página, el CMS hará el resto.

Esto otorga más importancia a la larga lista de vulnerabilidades que el nuevo parche soluciona. De entre todas ella hay una que nos llamó más la atención es el problema relacionado con los números aleatorios, ya que este ha sido un tema recurrente durante los  últimos meses.

El cifrado necesita de números aleatorios de buena calidad, así que investigamos Drupal para ver los que estaba mal y como solucionaron el problema.

drupal-diff

Entre otros cosas, el código antiguo usaba la función de PHP llamada mt_rand() para generar contraseñas aleatorias.

El mt significa Mersenne Twister, un generador de números aleatorios muy bien visto para usos que no sean de cifrado.

Los autores de su web lo dejan muy claro:

mt-non-crypto

Resumiendo, si conoces unos pocos cientos de números generados, puedes clonar el sistema y averiguar los siguientes números.

El nuevo código de Drupal emplea un generador de números aleatorios de más calidad, drupal_random_bytes () basado en la propia función de Unix /dev/urandom.

Nuestro consejo es que si usas Drupal no dudes en actualizarlo ya que además de solucionar este problema, ataja otras vulnerabilidades importantes.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *