Múltiples vulnerabilidades corregidas en Drupal, actualízalo ya
- Drupal 8 con el módulo RESTful Web Services (rest) habilitado y que permita peticiones PATCH o POST.
- Drupal 8 con algún otro módulo de web services habilitado como JSON: API.
- Drupal 7 con algún otro módulo de web services habilitado como Services o RESTful Web Services.
Se han publicado nuevas actualizaciones de seguridad del gestor de contenidos web Drupal para dar solución a varias vulnerabilidades que afectan a su núcleo o core y a varios módulos externos.
Si tienes instalada alguna de las configuraciones citadas anteriormente te recomendamos actualizar a la última versión disponible:
- Si usas Drupal 8.6.X actualiza a Drupal 8.6.10.
- Si usas Drupal 8.5.X o anterior actualiza a Drupal 8.5.11.
- Instala los parches de seguridad disponibles para los módulos externos después de actualizar el núcleo.
- Si usas Drupal 7 no es necesario actualizar el núcleo, pero si utilizas módulos externos de web services, debes actualizarlos.
Si utilizas una versión anterior a Drupal 8.5.X te recomendamos actualizar a la última versión disponible, ya que su ciclo de vida ha terminado y no recibe actualizaciones de seguridad.
Antes de realizar la actualización del gestor de contenidos Drupal, se ha de realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Se deberá comprobar que se ha realizado la copia de seguridad correctamente y que podemos recuperarla.
Cuando se instala Drupal, se puede configurar el servicio de comprobación automática de actualizaciones, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.
Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.
Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.
Una vez terminado de actualizar el núcleo recuerda instalar los parches de seguridad para los módulos externos.
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición una línea gratuita de ayuda en ciberseguridad: 900 116 117.
La actualización de seguridad corrige una vulnerabilidad muy crítica en el núcleo o core de Drupal y en algunos módulos de web services causada al no validar correctamente los datos de entrada en algunos formularios web. Esto podría permitir que un atacante ejecutara código externo en el gestor de contenidos de la víctima pudiendo, entre otros, modificar la página o actuar sobre la base de datos.
Para más información revisa el aviso técnico de INCIBE-CERT.