Si utilizas Drupal como gestor de contenidos, este aviso te interesa
Versiones de Drupal 8.x anteriores a la 8.5.6.
Se ha publicado una nueva actualización de seguridad que afecta al núcleo del gestor de contenidos Drupal y que soluciona una vulnerabilidad relacionada con una librería externa de la que éste hace uso.
La solución a este problema de seguridad es actualizar a Drupal 8.5.6.
Las versiones de Drupal anteriores a 8.5.x ya no cuentan con soporte técnico y no recibirán actualizaciones.
Antes de realizar ninguna actualización del gestor de contenidos Drupal, es necesario realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Además, se recomienda comprobar que se ha realizado dicha copia de seguridad y que llegado el momento, se podría recuperar.
Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automáticas, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.
Importante: Antes de hacer este tipo de acciones en entornos de producción es necesario hacer pruebas previas en entornos de preproducción para comprobar que todo funciona correctamente tras la actualización.
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.
El núcleo del gestor de contenidos Drupal hace uso de una biblioteca externa llamada Symfony. Los desarrolladores de esta librería han publicado una actualización de seguridad que corrige una vulnerabilidad en las cabeceras que permitiría evadir las restricciones que ocultan información sensible.
Esta vulnerabilidad también se ha detectado en las bibliotecas Zend Feed y Diactoros, también incluidas en el núcleo de Drupal. Sin embargo, en este caso, Drupal no hace uso de la funcionalidad vulnerable.
Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del CERTSI.
Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en estos casos reales: