Importante actualización para webs con Drupal

Fecha de publicación:

25/02/2016

Importancia:

5 - Crítica

Recursos afectados:

Versiones 6.x, 7.x, 8.x de Drupal

Descripción:

El gestor de contenidos web Drupal ha publicado una actualización de seguridad para las versiones 6.x, 7.x, 8.x. que soluciona varias vulnerabilidades que podrían permitir a atacantes remotos realizar diversos tipos de ataques. Además la versión 6.x a partir de hoy deja de tener soporte.

Solución:

La actualización de seguridad soluciona, al menos, una vulnerabilidad crítica y varias moderadamente críticas. Entre otras:

La vulnerabilidad crítica hace que el formulario de envio ignore las restricciones que se hayan implantado de acceso al botón de envío (por ejemplo, la subida de un archivo .zip a través de un formulario, incluir letras en un campo de teléfono, etc.).
Vulnerabilidad grave en el módulo de archivos en las versiones 7 y 8, que permite a un usuario malintencionado modificar el enlace a un archivo quese haya subido mediante un formulario. Si un ciberdelincuente ataca repetidamente utilizando esta vulnerabilidad, puede llegar a bloquear la subida de archivos al portal web.
Vulnerabilidad grave en las versiones 6 y 7 en la descarga de ficheros que permite a un ciberdelincuente engañar al usuario para descargarse y ejecutar malware.
Vulnerabilidad grave en las versiones 6, 7 y 8, que permite un ataque de redireccionamiento mediante manipulación de la URL externa.
Vulnerabilidad grave en las versiones 6 y 7, que permite un ataque de fuerza bruta (probando todas las combinaciones posibles) mediante instrucciones atacar otras máquinas.

Recordamos que la versión 6.38 de Drupal llegó al final de su vida útil el 24 febrero.

Mantener instaladas alguna de las versiones 6.x de Drupal indicadas que quedan descontinuadas, puede tener implicaciones importantes desde el punto de vista de la seguridad. Al no disponer de soporte ni de nuevas actualizaciones, los fallos de seguridad existentes no serán corregidos por Drupal. Es importante proteger el gestor de contenidos para evitar que sea vulnerable a posibles ataques de ciberdelincuentes, como pueden ser ataques de inyección de SQL, cross-site scripting, phishing, defacement, etc.

Puedes consultar una solución mas técnica en el área de alerta temprana de nuestro CERT

Detalle:

La solución para estos problemas de seguridad es la instalación de la versión más reciente del Drupal.

Si utiliza Drupal 6.x, actualice a la versión 6.38
Si utiliza Drupal 7.x, actualice a la versión 7.43
Si utiliza Drupal 8.0.x, actualice a la versión 8.0.4

También puede instalar un parche específico siguiendo los pasos indicados por Drupal Aconsejamos consultar con las personas que gestionan su portal web para saber que versión de Drupal está instalada, y poder aplicar las medidas indicadas para cada versión.

Además, la versión 6.x deja de tener soporte desde el 24 de febrero de 2016.

Mantener instaladas alguna de las versiones 6.x de Drupal indicadas que quedan descontinuadas, puede tener implicaciones importantes desde el punto de vista de la seguridad. Al no disponer de soporte ni de nuevas actualizaciones, los fallos de seguridad existentes no serán corregidos por Drupal. Esto puede hacer que la web sea vulnerable a posibles ataques de ciberdelincuentes.

Para solucionar posibles problemas de seguridad, se recomienda tener correctamente actualizado el sitio de Drupal.

Antes de realizar ninguna actualización, se recomienda realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web de Drupal. Y tan importante como realizar copia de seguridad, es comprobar que se ha realizado correctamente y que podemos recuperar su información.

Otra precaución que deberemos tomar, es la de asegurarnos de tener a salvo una copia del fichero de configuración de Drupal (settings.php), que se encuentra en la ruta /sites/default/settings.php.

Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

Drupal: Configuración de notificaciones automáticas

Si accedemos a la administración del sitio, en caso de haber alguna actualización disponible, nos aparecerá un mensaje avisándonos de ello.

Drupal: Administración del sitio: Notificación de actualización disponible

Si pulsamos el enlace de la actualización, podremos consultar las características de las actualizaciones e instalar la que más nos interese.

Drupal: Actualización: Características de las actualizaciones

Al pulsar sobre el enlace comenzará la actualización.

¿Te gustaría recibir estos avisos en tu lector de RSS? Anímate y suscríbete a nuestro servicio de RSS o sigue nuestros perfiles de redes sociales en twitter @incibe y facebook: "protegetuempresa". Serás el primero en enterarte de los últimos avisos de seguridad para empresas.

Referencias:

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-001

How To Update Drupal Core

Protege tu web

Protege a tus Clientes

Etiquetas:

Actualización

CMS

Accesos corporativos

Accesos corporativos

Importante actualización para webs con Drupal

Campaña de phishing que descarga malware en tu dispositivo simulando un proceso judicial

Campaña de distribución de phishing suplantando a la Agencia Tributaria

Vulnerabilidad detectada en routers TP-Link

Boletín mensual de Microsoft – marzo 2023

Nueva campaña de phishing que intenta suplantar a Booking para robar tus credenciales de correo electrónico