Home / Node / Boletín de seguridad de Protege tu Empresa 20-01-2022

Boletín de seguridad de Protege tu Empresa 20-01-2022

Drupal soluciona vulnerabilidades que afectan a su librería jQuery UI


Publication date: 
01/20/2022
Importance: 
3 - Media
Affected resources: 

Las siguientes versiones de Drupal anteriores a:

  • Drupal 9.3.3,
  • Drupal 9.2.11,
  • Drupal 7.86.
Description: 

Se han detectado cinco fallos de seguridad de criticidad media en el core de Drupal, en concreto en la librería jQuery UI. Estos fallos podrían permitir a un ciberdelincuente realizar ataques del tipo Cross-Site Scripting (XSS).

Solution: 

Se recomienda actualizar Drupal a la última versión disponible, para ello puedes acceder a los siguientes enlaces:

Las versiones anteriores a la 8.9.x y versiones anteriores a 9.1.x no reciben actualizaciones de seguridad por estar descontinuadas.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detail: 

Drupal

Esta actualización corrige cinco vulnerabilidades que afectan al core de Drupal, que utiliza la librería de terceros jQuery UI. Anteriormente, esta librería se pensaba que estaba al final de su vida útil. A finales de 2021 jQuery UI lanzó una nueva versión, la cual soluciona dichos problemas en Drupal 7 y 9. Estas vulnerabilidades permitirían a un ciberdelincuente inyectar código HTML con formato incorrecto sin pasar por la desinfección del contenido, lo que podría conducir a un ataque XSS.

Tu soporte técnico puede consultar una solución más detallada en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017

Actualización de seguridad de Java SE de Oracle


Publication date: 
01/20/2022
Importance: 
3 - Media
Affected resources: 
  • Java SE, versiones 7u321, 8u311, 11.0.13 y 17.01.
Description: 

Oracle ha publicado un nuevo aviso de actualizaciones periódicas, que soluciona varios fallos de seguridad en sus productos. En esta ocasión, la actualización corrige 18 fallos de seguridad de los productos de Oracle Java SE, los cuales pueden ser explotados sin necesidad de credenciales de usuario; es decir, sin autenticación o permisos de usuario a través de la Red.

Solution: 

Para solucionar estas vulnerabilidades, Oracle pone a disposición de los usuarios un parche que resuelve los fallos de seguridad detectados. Dicho parche puede ser aplicado activando Java SE o sus actualizaciones automáticas.

NOTA: Para activar Java, configurarlo o realizar la actualización, deberás entrar en el ordenador con un usuario con permisos de administrador asignados.

Si necesitas activar Java puedes realizarlo de dos formas:

También puedes configurar las actualizaciones automáticas en Windows y en OSx.

Panel de control de Java

Si no tienes activadas las actualizaciones automáticas, recomendamos hacerlo de la siguiente manera:

  1. Comprobar la versión de Java que tienes instalada desde el navegador.

Comprobar Java y buscar versiones anticuadas

Al aceptar y continuar, se comprobará la versión que tienes instalada y, si fuera necesario, te recomendará la actualización más conveniente para tu sistema.

  1. También puedes actualizar directamente Java en tu ordenador a la última versión.
  2. Para realizar otras acciones de seguridad relativas a Java, tales como eliminar versiones antiguas, configurar el nivel de seguridad o rechazar aplicaciones de origen desconocido, consulta estos consejos de seguridad.

Recuerda la importancia de mantener tus sistemas y aplicaciones siempre actualizados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.

Detail: 

Actualización Java

Java es una herramienta de software que requiere ser activada en los navegadores para poder utilizar ciertos programas integrados en las páginas web. Este tipo de programas se utilizan en aplicaciones y sitios web públicos, como la Agencia Tributaria, la Seguridad Social, el Registro Mercantil o en páginas web de banca electrónica.

Los fallos detectados y corregidos en los productos de Java afectados podrían permitir a un usuario, sin necesidad de tener credenciales o permisos administrativos, acceder a información sensible y modificarla o eliminarla.

Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos de INCIBE-CERT.

Línea de ayuda en ciberseguridad 017