Inicio / Protege tu empresa / Avisos Seguridad / Actualización muy crítica para webs con Drupal 8.x

Actualización muy crítica para webs con Drupal 8.x

Fecha de publicación: 
19/07/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones 8.x de Drupal anteriores a 8.1.7. Con el lanzamiento de la versión 8.1.7 se anuncia que termina el soporte para las versiones 8.0.x.

Versiones 7.x de Drupal no están afectadas salvo que utilicen módulos u otro software que se base en entornos CGI (Common Gateway Interface) o similares como pueden ser los servidores Apache Tomcat, servidores Apache, Ngnix, Varnish, Red Hat Enterprise Linux, CentOS y HHVM entre otros. Estos entornos permiten que las páginas sean dinámicas, no estáticas, enviando a los usuarios páginas personalizadas que interactúan con el navegador del usuario.

Descripción: 

Drupal ha publicado una actualización de seguridad para las versiones 8.x. que soluciona esta vulnerabilidad crítica del gestor de contenidos. Los gestores de contenidos, instalados en servidores web, «sirven» nuestras páginas a los usuarios que las solicitan a través de sus navegadores. Esta vulnerabilidad, conocida como HTTPoxy, podría permitir a un atacante redireccionar las conexiones que se realicen a un servidor web infectado a otros servidores maliciosos.

Solución: 

La solución para este problema de seguridad es la instalación de la versión más reciente del Drupal, en este caso la versión 8.1.7 Insta a tu soporte tecnológico a aplicar esta actualización.

Si utilizas otra versión de Drupal o servidores, módulos y aplicaciones que sospeches puedan estar afectados sigue las instrucciones de esta web.

Para solucionar posibles problemas de seguridad, se recomienda tener siempre actualizado todo el software a las últimas versiones.

Antes de realizar ninguna actualización del gestor de contenidos Drupal, se recomienda realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web. Tan importante como realizar copia de seguridad, es comprobar que se ha realizado correctamente y que podemos recuperarla.

Otra precaución que deberemos tomar, es la de asegurarnos de tener a salvo una copia del fichero de configuración de Drupal (settings.php), que se encuentra en la ruta /sites/default/settings.php.

Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

Drupal: Configuración de notificaciones automáticas de actualización

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o perfil de twitter @incibe y Facebook "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Detalle: 

La actualización de seguridad soluciona una vulnerabilidad muy crítica que se conoce desde hace tiempo y que afecta a las páginas web dinámicas, es decir, aquellas en las que el contenido cambia según lo que se recibe desde los navegadores de los usuarios. Para cambiar el contenido de las páginas se ejecutan programas en el servidor que pueden estar escritos en distintos lenguajes (Go, PHP, Phyton). Este fallo de seguridad utiliza peticiones no cifradas del servidor a esos programas para redireccionar las comunicaciones con los navegadores de los usuarios a servidores maliciosos. También pueden extraer o modificar datos de nuestro servidor.

Tu soporte tencológico puede consultar una solución más técnica el área de avisos del CERTSI.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos te los explicabamos en estos casos reales: