Drupal soluciona una vulnerabilidad crítica que afecta a una de sus librerías. ¡Actualiza cuanto antes!
Versiones de Drupal anteriores a:
- Drupal 9.1.3
- Drupal 9.0.11
- Drupal 8.9.13
- Drupal 7.8;
Se ha detectado una nueva vulnerabilidad crítica que afecta a la biblioteca pear Archive_Tar. Esta vulnerabilidad podría permitir a un atacante realizar operaciones de escritura con Directory Traversal, debido a una inadecuada comprobación de los enlaces simbólicos.
Se recomienda actualizar Drupal a la última versión disponible, para ello puedes acceder a los siguientes enlaces:
- Si utilizas Drupal 9.1, actualiza a Drupal 9.1.3.
- Si utilizas Drupal 9.0, actualiza a Drupal 9.0.11.
- Si utilizas Drupal 8.9, actualiza a Drupal 8.9.13.
- Si utilizas Drupal 7, actualiza a Drupal 7.78.
Las versiones de Drupal 8 anteriores a la 8.9.x no recibirán actualizaciones de seguridad por estar al final de su vida útil.
También se recomienda desactivar la subida de los archivos .tar, .tar.gz, .bz2 y .tlz
Importante: Recuerda hacer una copia de seguridad de los archivos de tu servidor y de la base de datos, antes de proceder a actualizar tu gestor de contenidos. A, además, es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.
Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:
- ¿Humano o bot? Protege tu web con sistemas captcha
- Celebra el Día Mundial de las Contraseñas, la puerta de entrada a todos tus servicios
- Qué es una DMZ y cómo te puede ayudar a proteger tu empresa
- Historias reales: web segura cumpliendo la ley
- 5 razones para hacer copias de seguridad de tu web
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017.
Esta actualización corrige una vulnerabilidad considerada como crítica, que afecta a la biblioteca pear Archive_Tar, y que podría permitir a un ciberdelincuente ejecutar exploits mediante la subida de archivos tipo .tar, .tar.gz, .bz2, o .tlz. Mediante estos exploits, el atacante puede realizar operaciones de escritura con Directory Traversal, debido a una inadecuada comprobación de los enlaces simbólicos.
Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.
