Inicio / Protege tu empresa / Avisos Seguridad / Actualización moderadamente crítica de seguridad en Drupal

Actualización moderadamente crítica de seguridad en Drupal

Fecha de publicación: 
17/11/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • Versiones de Drupal 7.x anteriores a 7.52
  • Versiones de Drupal 8.x anteriores a 8.2.3 
Descripción: 

Drupal ha publicado una actualización de seguridad para las versiones 7.x y 8.x. que soluciona varias vulnerabilidades del gestor de contenidos, dos de ellas moderadamente críticas. Los gestores de contenidos instalados en servidores web «sirven» nuestras páginas a los usuarios que las solicitan a través de sus navegadores. Una de estas vulnerabilidades moderadamente críticas podría permitir que el atacante redirija a páginas maliciosas a los usuarios que interactuan con formularios en nuestra web (Drupal 7.x) y la otra podría ser utilizada para causar una denegación del servicio (Drupal 8.x) dejando nuestra web inaccesible.

Según un informe de Sucuri, en el segundo cuatrimestre de 2016, el 84% de los portales en Drupal estaban desactualizados.

Solución: 

La solución para estos problemas de seguridad es la instalación de la versión más reciente del Drupal, en este caso las verisiones 7.52 y 8.2.3. Insta a tu soporte tecnológico a que actualice el software del gestor de contenidos web.

Como medida preventiva se recomienda tener siempre actualizado todo el software a las últimas versiones.

Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, comprobar que se ha realizado correctamente y que podemos recuperarla.

Otra precaución que debemos tomar, es asegurarnos de tener a salvo una copia del fichero de configuración de Drupal (settings.php), que se encuentra en la ruta /sites/default/settings.php.

Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

Drupal: Configuración de notificaciones automáticas de actualizaciones disponibles

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe  y Facebook "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle: 

Esta actualización soluciona dos vulnerabilidades moderadamente críticas, además de otras dos menos críticas.

  • Las vulnerabilidades moderadamente críticas pueden ser aprovechadas en remoto comprometiendo nuestro servidor web, aunque precisan de la interacción de un usuario registrado con permsisos para que el ataque tenga éxito. 
    • La vulnerabilidad moderadamente crítica que afecta a Drupal 7.x  podría permitir que un atacante redirija a los usuarios que interactuan con formularios en nuestra web, enviándoles como respuesta al formulario una URL que le redigirá a páginas fraudulentas.
    • La vulnerabilidad moderadamente crítica que afecta a Drupal 8.x podría aprovechar el mecanismo de transliteración (conversión a caracteres a US-ASCII) de Drupal para causar una Denegación de Servicio (DoS) a nuestro servidor dejando nuestra web inaccesible.
  • Las vulnerabilidades menos críticas requieren que se den varias circunstancias simultáneas o encadenadas, pudiendo quedar expuestos datos sensibles de los usuarios.
    • Esta actualización corrige una vulnerabilidad menos crítica de Drupal 8 que afecta al formulario para que los usuarios reseteen la contraseña.
    • Esta actualización también corrige una vulnerabilidad menos crítica en Drupal 7 y 8 que afecta al acceso a bases de datos del sistema.

Puedes consultar una solución más técnica en el área de alerta temprana del CERTSI. 

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales: