Cabecera-v2-web.jpg

Actualización crí­tica de seguridad en Drupal


Drupal ha publicado una actualización de seguridad para las versiones 8.x. que soluciona varias vulnerabilidades del gestor de contenidos, dos de ellas crí­ticas. Los gestores de contenidos instalados en servidores web «sirven» nuestras páginas a los usuarios que las solicitan a través de sus navegadores. Estas dos vulnerabilidades crí­ticas podrí­an permitir que el atacante acceda a la configuración de administración y que ejecute código malicioso en el navegador de los usuario que visitan nuestra web.

Según un informe de Sucuri, en el segundo cuatrimestre de 2016, el 84% de los portales en Drupal estaban desactualizados.

La solución para estos problemas de seguridad es la instalación de la versión más reciente del Drupal, en este caso la versión 8.1.10. Insta a tu soporte tecnológico a que actualice el software del gestor de contenidos web.

Como medida preventiva se recomienda tener siempre actualizado todo el software a las últimas versiones.

Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, comprobar que se ha realizado correctamente y que podemos recuperarla.

Otra precaución que debemos tomar, es asegurarnos de tener a salvo una copia del fichero de configuración de Drupal (settings.php), que se encuentra en la ruta /sites/default/settings.php.

Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

drupal1.png

Detalle de las vulnerabilidades:

La actualización de seguridad soluciona dos vulnerabilidades crí­ticas:

  • Un fallo del tipo «ejecución de comandos en sitios cruzados» o XSS (del inglés cross-site scripting): mediante la cual un atacante podrí­a dirigir a nuestros usuarios a una página diseñada para ejecutar código malicioso en su navegador.

Esta vulnerabilidad se da en las páginas web que se generan dinámicamente, es decir, en función de los datos que reciben del usuario. Si estos datos no se validan adecuadamente, un atacante podrí­a insertar en la web codigo malicioso y hacer que éste se ejecutara. Mediante este código el atacante puede cambiar la configuración del servidor, destruir el sitio web, secuestrar cuentas y sesiones de usuarios, escuchar comunicaciones (incluso cifradas), dirigir al usuario a sitios maliciosos, instalar publicidad en el sitio web y en general cualquier acción que desee de forma inadvertida para el administrador.

  • Un fallo que permite a los usuarios sin permisos de administrador descargar la configuración completa del portal: el acceso a la configuración deberí­a estar limitado a aquellos usuarios con permisos de administrador.


Fuente: incibe.es


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11