Actualización crítica 8.2.7 para webs en Drupal

Fecha de publicación: 
16/03/2017
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones 8.x de Drupal.

Descripción: 

Drupal ha publicado una actualización de seguridad para las versiones 8.x. que soluciona varias vulnerabilidades del gestor de contenidos, una de ellas crítica y dos moderadas. Los gestores de contenidos instalados en servidores web «sirven» nuestras páginas a los usuarios que las solicitan a través de sus navegadores. Estas vulnerabilidades podrían permitir que el atacante acceda a la configuración de administración y que ejecute código malicioso en el navegador de los visitantes de nuestra web.

Solución: 

La solución para estos problemas de seguridad es la instalación de la versión más reciente del Drupal, en este caso la versión 8.2.7

Como medida preventiva se recomienda tener siempre actualizado todo el software a las últimas versiones.

Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, comprobar que se ha realizado correctamente y que podemos recuperarla.

Otra precaución que deberemos tomar, es la de asegurarnos de tener a salvo una copia del fichero de configuración de Drupal (settings.php), que se encuentra en la ruta /sites/default/settings.php.

Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

actualización drupal

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe  y Facebook “protegetuempresa”. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle: 

La actualización de seguridad soluciona dos vulnerabilidades críticas:

  • Un fallo crítico en el módulo editor. Al añadir un fichero privado a través del editor de texto configurado (como CKEditor), el editor no chequea correctamente los accesos al fichero que se adjunta, ocasionando una evasión en el control de acceso.
  • Un fallo del tipo «falsificación de petición en sitios cruzados» o CSRF (del inglés Cross Site Request Forgery) en algunas paginas de acceso para el administrador de la web. Esto podría permitir que un atacante deshabilitara bloques o secciones de la web. Este fallo es de criticidad moderada porque los usuarios deben conocer el ID del bloque. Un CSRF es un ataque donde podemos ser engañados para acceder o enviar información a una web en la que estemos en ese momento autenticados. Este ataque puede tener como resultado una acción según nuestros permisos en la página web desconocida y no controlada por nosotros pero provocada por el atacante.
  • Un fallo que permite la ejecución remota de código: una librería de terceros incluida en Drupal 8 es vulnerable a este tipo de ataques. Tu web puede ser vulnerable si tu versión de Drupal es anterior a la 8.2.2. Para evitarlo elimina el directorio /vendor/phpunit.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales: