Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Nueva actualización de seguridad de Drupal

Fecha de publicación 17/01/2019
Importancia
5 - Crítica
Recursos Afectados

Versiones de Drupal 8.6.x, 8.5.x, 7.x y versiones anteriores.

Descripción

Se ha publicado una nueva actualización de seguridad que afecta al núcleo del gestor de contenidos y que soluciona dos vulnerabilidades.

Solución

La solución para estos problemas de seguridad pasa por la instalación de la versión más reciente de Drupal:

  • Si utiliza Drupal 8.6.x, actualice a la versión 8.6.6
  • Si utiliza Drupal 8.5.x o anteriores, actualice a la versión 8.5.9
  • Si utiliza Drupal 7.x, actualice a la versión 7.62

Las versiones de Drupal anteriores a 8.5.x ya no cuentan con soporte técnico y no recibirán actualizaciones.

Antes de realizar ninguna actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Comprobar que se ha realizado la copia de seguridad correctamente y que podemos recuperarla.

Cuando se instala Drupal, se puede configurar el servicio de comprobación automática de actualizaciones, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

Descargar la nueva versión de Drupal

Importante: Antes de hacer este tipo de acciones en entornos de producción, es recomendable realizar las pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.

Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.

Drupal 8.6.7

Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

Drupal ya está actualizado.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímese y suscríbase a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Será el primero en enterarse de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
 

Detalle

Esta actualización de seguridad corrige los siguientes fallos de seguridad:

  • La introducción de datos por parte del usuario en operaciones con ficheros no se encuentran adecuadamente validadas, lo que podría permitir a un atacante la ejecución remota de código para realizar cambios en el portal. Para poder explotar esta vulnerabilidad se requerirían permisos de administrador o una configuración específica del sistema.
  • El núcleo de Drupal utiliza la biblioteca de terceros PEAR Archive_Tar. Esta biblioteca ha publicado una actualización de seguridad que afecta a algunas configuraciones del gestor de contenidos.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del INCIBE-CERT.

Mejoramos contigo. Participa en nuestra encuesta

Listado de referencias