Determinando si la tecnología base tiene vulnerabilidades con CVE Details. Casos de estudio con Drupal 6.38 y 7.37.

Las aplicaciones web dependen de muchos componentes para lograr un correcto funcionamiento. El código fuente que escriben los programadores del equipo de proyecto para crear un producto es solo una parte de todo el sistema informático. Influye también el servidor HTTP que utilicemos, los framework de desarrollo, los CMS, el sistema gestor de bases de datos, el sistema operativo sobre el cual va a desplegar todo este sistema, las librerías de JavaScript, entre otros componentes.

Un buen programador conoce que puede aplicar todas las técnicas posibles para escribir un código sin errores. Sin embargo, todo el esfuerzo invertido sería en vano si luego este código debe ser interpretado por PHP 5.3.3, el cual tiene una superficie de ataque tan grande como puede ser la definida por 66 vulnerabilidades conocidas.

Por tanto, es importante conocer si la tecnología base que usamos posee vulnerabilidades. Para esto existen diversas herramientas. En mi opinión, una de las mejores que pueden usarse es CVE Details (www.cvedetails.com), la cual permite consumir datos de los CVE (Common Vulnerabilities and Exposures), registrados por la National Vulnerability Database (NVD) del National Institute of Standards and Technology(NIST) del gobierno de los EE.UU.

CVE Details permite relacionar otras fuentes de datos como Exploit-db, brinda reportes gráficos y otras funcionaliades con valor añadido que lo convierten en un excelente recurso de información para cualquier programador, arquitecto, analista de calidad, gerente de proyecto, especialistas de seguridad informática y además, por desgracia, ciberdelincuentes.

Dicho esto, vamos a aprender a utilizar la principal funcionalidad de CVE Details, determinando si existe vulnerabilidades para Drupal 7.37 y para Drupal 6.38, comencemos:

  • Comprobando si existen vulnerabilidades reportadas para la versión de Drupal  7.37:
P24.1

Pasos 1,2,3: Accedemos a CVE Details (www.cvedetails.com) y escribimos los datos de la tecnología que vamos a investigar en el campo de búsqueda correspondiente.

P24.2

Paso 4. Aparecen diversos hipervínculos que conducen al listado de vulnerabilidades conocidas para Drupal 7.37. Recomiendo siempre acceder al primer hipervínculo que tenga la estructura del comentario 4.

P24.3

Paso 5. Estudio las vulnerabilidad encontradas para Drupal 7.37. Como puede observarse, existen 15 vulnerabilidades conocidas hasta el 9 de julio del 2016

Podemos apreciar que existe un número de vulnerabilidades para Drupal 7.37 significativo. Consultando la página de soporte de Drupal, puede apreciarse que la versión 7.37 fue liberada el 7 de mayo del 2015, hace exactamente 14 meses. Desde esa fecha, han sido liberadas 8 nuevas versiones para la rama 7.x. Esto nos da una medida de la cantidad de errores que han sido corregidos en la rama 7.x desde que fue liberado la versión 7.37.

  • Pasemos entonces a comprobar si existen vulnerabilidades para Drupal 6.38:
P24.5

Pasos 1,2,3: Accedemos a CVE Details (www.cvedetails.com) y escribimos los datos de la tecnología que vamos a investigar en el campo de búsqueda correspondiente.

P24.6

En este caso,puede apreciarse que hay referencia a la versión de Drupal 6.38, sin embargo, estas referencias están precedidas por la palabra “before“, por tanto, esto nos está indicando que existen vulnerabilidades para versiones anteriores de Drupal 6.38 pero no para dicha versión.

Podemos apreciar que, según CVE Details, no existen vulnerabilidades conocidas para Drupal 6.38. Para contrastar este resultado podemos ir nuevamente al portal de soporte de Drupal donde comprobaremos que la versión 6.38 fue liberada el 24 de febrero del 2016 y es la última versión de la rama 6.x, es lógico entonces que no existan vulnerabilidades conocidas para esta versión.

CVE Details tiene otras funcionalidades que iré describiendo poco a poco en el blog. Con la información brindada en este post, cualquier profesional vinculado a la informática puede comprobar si las tecnologías que utiliza diariamente tiene vulnerabilidades conocidas y sus descripciones. Cualquier tecnología, ya sea un sistema operativo, una impresora o una librería de JavaScript.

Espero que te haya servidor este post y ante cualquier duda o sugerencia, no dudes en dejar tu comentario debajo.Buen fin de semana!!!

 

Anuncios

6 comentarios en “Determinando si la tecnología base tiene vulnerabilidades con CVE Details. Casos de estudio con Drupal 6.38 y 7.37.

  1. Pingback: Ataques de Día Cero. ¿Qué son y cómo combatirlo? | Behique Digital

  2. Pingback: ST16-001 | Seguridad en los Datos de Registros de Electores | Behique Digital

  3. Pingback: Open Journal Systems: ¿Que tan bueno es no tener vulnerabilidades? | Behique Digital

  4. Pingback: ¿Eres vulnerable a un ataque de Directory Traversal? Aplicación de la OTG-AUTHZ-001 con OWASP ZAP | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s