Drupal, actualización crítica de seguridad [18/11/2020]

Enviado por Daniel Muñoz Egido el Jue, 19/11/2020 - 07:01
Logotipo de Drupal

El equipo de seguridad de Drupal acaba de anunciar que se encuentra disponible una actualización crítica de seguridad como consecuencia de una vulnerabilidad detectada que permitiría la ejecución de código remoto.

Se ha detectado que el core de Drupal no sanitiza (limpia el código) determinadas extensiones de archivos que han sido subidos al servidor, lo cual podría tener como consecuencia que éstos sean interpretados con una extensión incorrecta y servidos con un MIME equivocado, o que sean ejecutados como archivos PHP en determinadas configuraciones de servidor, pudiendo de esta manera ejecutar código remoto en el servidor.

Para solucionar este problema de seguridad, se han publicado las siguientes actualizaciones:

  • Si estás utilizando Drupal 9.0.x, se ha publicado Drupal 9.0.8.
  • Si estás utilizando Drupal 8.9.x, se ha publicado Drupal 8.9.9.
  • Si estás utilizando Drupal 8.8.x, o anterior, se ha publicado Drupal 8.8.11.
  • Si estás utilizando Drupal 7, se ha publicado Drupal 7.4.

Además de realizar la actualización de la herramienta, se recomienda realizar una auditoría de las extensiones de los archivos que ha sido subidos al servidor, poniendo atención sobre todo a aquellos archivos que tienen una extensión doble, como puede ser nombre_de_archivos.php.txt o nombre_de_archivo.html.gif, por ejemplo. También se debe poner una especial atención a aquellos archivos con las siguientes extensiones, aunque estos no tengan una doble extensión:

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm
  • phtml

Esta vulnerabilidad ha sido detectada y se ha publicado la actualización correspondiente. Ahora sólo queda que nosotros, como administradores de un sitio construido con esta herramienta para la gestión de contenidos, apliquemos dicha actualización para proteger nuestro sitio y a nuestros usuarios. Sólo nos llevará un momento.

Podemos encontrar toda la información sobre esta alerta crítica de seguridad en el espacio web del Drupal Security Team.

 

Etiquetas