Dos nuevos avisos de seguridad
Múltiples vulnerabilidades en needrestart de Ubuntu Server
Versiones anteriores a la 3.8 de needrestart.
Qualys TRU ha publicado una investigación en la que afirman haber descubierto 5 vulnerabilidades: 4 de severidad alta y 1 de severidad media que afectan al servicio needrestart. Su explotación podría provocar una escalada de privilegios locales.
Actualizar a la versión 3.8 de needrestart.
Estas vulnerabilidades en la utilidad needrestart permiten a los usuarios locales aumentar sus privilegios ejecutando código arbitrario durante las instalaciones o actualizaciones de paquetes, donde needrestart a menudo se ejecuta como usuario root. Un atacante que explote estas vulnerabilidades podría obtener acceso root, comprometiendo la integridad y seguridad del sistema.
Se han asignado los identificadores CVE-2024-48990, CVE-2024-48991, CVE-2024-48992 y CVE-2024-11003 para las vulnerabilidades de severidad alta y CVE-2024-10224 para la de severidad media.
Múltiples vulnerabilidades en el core de Drupal
Versiones del core de Drupal:
- 7 con el módulo Overlay habilitado;
- 8.0.0 y superiores hasta la anterior a 10.2.11;
- 10.3.0 y superiores hasta la anterior a 10.3.9;
- 11.0.0 y superiores hasta la anterior a 11.0.8.
Varios investigadores del equipo de seguridad de Drupal han reportado 6 vulnerabilidades que afectan al core, siendo 1 de severidad alta, 4 medias y 1 baja. La explotación de estas vulnerabilidades podría permitir a un atacante realizar Cross Site Scripting (XSS), comprometer la integridad de la información, borrar archivos arbitrarios y ejecutar código remoto.
La vulnerabilidad de severidad alta afecta al módulo Overlay incluido en el core de Drupal 7, debido a un fallo en la gestión de los datos de entrada del usuario, lo que podría dar lugar a un ataque XSS reflejado bajo determinadas circunstancias.
La información del resto de vulnerabilidades puede consultarse en las referencias.