Drupal
security risks
by
Isaac García Sierra
[Drupal Architect and Dev, ERP and E-commerce Consultor]
_______________________________________________
c: (222) 5 26 75 23
m: isaac.gasi@gmail.com
t: @isaac_gasi
Niveles de seguridad
Not Critical (1 of 5):
Se utiliza para limitados vulnerabilidades de escalada de privilegios y denegaciones de servicio locales (DOS) vulnerabilidades
Bypass de acceso, falta de cifrar los datos
Less Critical (2 of 5):
Secuencias de comandos en sitios cruzados,
utilizado para las vulnerabilidades de solicitud falsificación, escalada de privilegios, exposición de datos confidenciales.
Session fixation, Cross site request forgery
Moderately Critical (3 of 5):
Vulnerabilidades explotadas a distancia que pueden comprometer el sistema. Se requiere la interacción (por ejemplo, un administrador de la visualización de una página en particular).
Cross Site Scripting, el bypass de acceso
Critical (4 of 5)
Remotamente explotable de denegación de servicio (DOS) vulnerabilidades que pueden comprometer el sistema, pero no se requiere la interacción del usuario.
OpenID impersonation, SQL injection
Highly Critical (5 of 5)
Vulnerabilidades explotadas a distancia que pueden comprometer el sistema.
Inclusión de archivo local en Windows, la suplantación, la escalada de privilegios
asegurar
permisos y propiedad de archivos
El sistema de archivos del servidor debe estar configurado para que el servidor web (por ejemplo Apache) no tiene permiso para editar o grabar los archivos que posteriormente ejecuta.
Es decir, todos los archivos deben ser 'sólo lectura' para el proceso de Apache, y propiedad con permisos de escritura por un usuario independiente.
knowledge
commands
sudo su cd chmod chown find exec
algo de sh-style shell (sh, bash,ksh)
for remote servers
ssh o ftp (no recomendable)
Permissions project overview
Core modules/themes directories: rwxr-x---
Core modules/themes files: rw-r-----
Hosted sites modules/themes directories: rwxr-x---
Hosted sites modules/themes files: rw-r-----
Hosted sites "files" directory: rwxrwx---
Hosted sites files under "files" directories: rw-rw----
Hosted sites subdirectories under "files" directories: rwxrwx---
Hosted sites setting file: r--r-----
Cómo informar de un problema de seguridad con el núcleo de Drupal, contrib o Drupal.org
Descubrir un issue en Drupal Core o contributed project
(module, theme, or distribution)
cubierto por
https://drupal.org/security-advisory-policy
uno (Preferida)
1. Encuentra el proyecto en drupal.org relacionados con el tema.
2. Dar click en el botón "Report a security issue".
3. Esto te llevará a seguimiento de incidencias privado del equipo de seguridad, donde el problema se incorporará de inmediato en nuestro flujo de trabajo
dos (no tan pro)
Envía un correo a security@drupal.org.
Un buen informe de errores de seguridad
Proporcione un informe detallado. Incluya la mayor cantidad de estos artículos como sea posible:.
Version Drupal y / o versión del módulo afectado por el tema
Pasos para reproducir el problema a partir de un sitio fresco instalan
Un parche propuesto
Opcional:
Puede indicar la forma en que le gustaría que se hace referencia en el asesoramiento sobre la vulnerabilidad. Nuestra preferencia es usar nombres completos vinculados a los identificadores de usuario drupal.org. Si no se especifica que haremos nuestro mejor esfuerzo para encontrar esa información. También puede solicitar un seudónimo o su nombre de haber retenido.
por favor considera leer más acerca de esto
Es Drupal seguro? --> https://drupal.org/documentation/is-drupal-secure
Securing file permissions and ownership --> https://drupal.org/node/244924
Equipo de seguridad --> https://drupal.org/security-team
Discusión sobre las mejores prácticas de seguridad --> https://groups.drupal.org/security
Mi sitio fue desfigurado, ahora que? --> https://drupal.org/node/213320
Niveles de seguridad --> https://drupal.org/security-team/risk-levels
Revisa los avisos de seguridad --> https://drupal.org/security
Gracias por su atención.
@isaac_gasi