Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Nueva actualización de seguridad de Drupal

Fecha de publicación 18/10/2018
Importancia
5 - Crítica
Recursos Afectados
  • Versiones de Drupal 7.x, 8.6.x, 8.5.x y versiones anteriores.
Descripción

Se ha publicado una nueva actualización de seguridad que afecta al núcleo del gestor de contenidos Drupal y que soluciona múltiples vulnerabilidades.

Solución

La solución para estos problemas de seguridad es la instalación de la versión más reciente de Drupal:

  • Si utiliza Drupal 7.x, actualice a la versión 7.60
  • Si utiliza Drupal 8.6.x, actualice a la versión 8.6.2
  • Si utiliza Drupal 8.5.x o anteriores, actualice a la versión 8.5.8

Las versiones de Drupal anteriores a 8.5.x ya no cuentan con soporte técnico y no recibirán actualizaciones.

Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Comprobar que se ha realizado la copia de seguridad correctamente y que podemos recuperarla.

Cuando se instala Drupal, se puede configurar el servicio de comprobación automática de actualizaciones, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

Importante: Antes de hacer este tipo de acciones en entornos de producción es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.

Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarse de los últimos avisos de seguridad para empresas.

Detalle

Esta actualización de seguridad corrige los siguientes fallos de seguridad:

  • A los usuarios que no tenían acceso para usar las opciones de moderación de contenido se les concedía acceso para actualizar el contenido sin solicitar credenciales, siempre y cuando el estado del contenido no cambiara. Esto podría permitir que usuarios sin autorización realizasen cambios en el portal.
  • El módulo de direcciones permite a los administradores de este módulo crear redirecciones a sitios web maliciosos. Para explotar esta vulnerabilidad, el ciberdelincuente tendría que ser administrador del módulo de direcciones, lo que implica un bajo riesgo.
  • Al igual que en el anterior caso, pero dentro del módulo de enlaces contextuales, un atacante podría aprovechar esta vulnerabilidad para dirigir a los usuarios a páginas web maliciosas. Se necesitan privilegios de administrador por lo que también implica un riesgo bajo.
  • El núcleo de Drupal y los módulos añadidos utilizan frecuentemente un parámetro de cadena de consulta «destino» en las URLs para redirigir a los usuarios a un nuevo destino después de completar una acción en la página actual. Bajo ciertas circunstancias, los usuarios maliciosos pueden utilizar este parámetro para construir una URL que engañe a los usuarios para que sean redirigidos a un sitio web de terceros, exponiéndolos así a posibles ataques de ingeniería social.
  • Al enviar correos electrónicos, algunas variables no se gestionaban adecuadamente, lo que podía permitir a un atacante la ejecución remota de código de su elección para realizar cambios en el portal.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist  para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en estos casos reales:

Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

Mejoramos contigo. Participa en nuestra encuesta

Listado de referencias