Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Drupal soluciona una vulnerabilidad crítica que afecta a una de sus librerías. ¡Actualiza cuanto antes!

Fecha de publicación 21/01/2021
Importancia
5 - Crítica
Recursos Afectados

Versiones de Drupal anteriores a:

  • Drupal 9.1.3
  • Drupal 9.0.11
  • Drupal 8.9.13
  • Drupal 7.8;
Descripción

Se ha detectado una nueva vulnerabilidad crítica que afecta a la biblioteca pear Archive_Tar. Esta vulnerabilidad podría permitir a un atacante realizar operaciones de escritura con Directory Traversal, debido a una inadecuada comprobación de los enlaces simbólicos.

Solución

Se recomienda actualizar Drupal a la última versión disponible, para ello puedes acceder a los siguientes enlaces:

  • Si utilizas Drupal 9.1, actualiza a Drupal 9.1.3.
  • Si utilizas Drupal 9.0, actualiza a Drupal 9.0.11.
  • Si utilizas Drupal 8.9, actualiza a Drupal 8.9.13.
  • Si utilizas Drupal 7, actualiza a Drupal 7.78.

Las versiones de Drupal 8 anteriores a la 8.9.x no recibirán actualizaciones de seguridad por estar al final de su vida útil.

También se recomienda desactivar la subida de los archivos .tar, .tar.gz, .bz2 y .tlz

Importante: Recuerda hacer una copia de seguridad de los archivos de tu servidor y de la base de datos, antes de proceder a actualizar tu gestor de contenidos. A, además,  es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.

Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la línea gratuita de ayuda en ciberseguridad de INCIBE: 017.

Detalle

Drupal

Esta actualización corrige una vulnerabilidad considerada como crítica, que afecta a la biblioteca pear Archive_Tar, y que podría permitir a un ciberdelincuente ejecutar exploits mediante la subida de archivos tipo .tar, .tar.gz, .bz2, o .tlz. Mediante estos exploits, el atacante puede realizar operaciones de escritura con Directory Traversal, debido a una inadecuada comprobación de los enlaces simbólicos.

Tu soporte tecnológico puede consultar una solución más técnica en el área de avisos del INCIBE-CERT.

Línea de ayuda en ciberseguridad 017