El equipo de seguridad de Drupal ha emitido varias alertas de seguridad sobre módulos contribuidos, algunas de ellas de carácter critico, por lo que se recomienda su inmediata actualización.
En su labor de monitorización continua en relación a la seguridad tanto del core como de los diversos módulos contribuidos desarrollados por la comunidad, el equipo de seguridad de Drupal ha emitido diversas alertas de seguridad sobre algunos de estos módulos contribuidos, algunas de ellas de carácter crítico, habiendo publicado los creadores de dichos módulos las actualizaciones necesarias para solucionarlos.
Las alertas de seguridad que han sido emitidas son:
- SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider.- Alerta crítica.- SA-CONTRIB-2020-038.
El módulo SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider permite emplear proveedores de identidad que implementen el protocolo SAML 2.0 para identificar a los usuarios del sistema.
Se ha detectado que el módulo es susceptible de dos vulnerabilidades de omisión de autenticación, por lo que se recomienda su actualización inmediata. Para ello se han publicado las actualizaciones miniorange_saml 8.x-2.14 y miniorange_saml 7.4-2.54. - Ink Filepicker.- Alerta crítica.- SA-CONTRIB-2020-037.
Ink Filepicker nos permitía conectar nuestro sitio construido con Drupal con hasta 10 servicios web, como pudieran ser Dropbox, Facebook o Gmail entre otros.
Este módulo ha dejado de ofrecer soporte por lo que no realiza actualizaciones de seguridad, por este motivo se emite una alerta crítica de seguridad y se recomienda su desinstalación.
Ink Filepicker - Critical - Unsupported - SA-CONTRIB-2020-037 https://t.co/c4M0uosMWZ
— Drupal Security (@drupalsecurity) November 18, 2020 - Media: oEmbed.- Alerta crítica.- SA-CONTRIB-2020-036.
Con el módulo Media: oEmbed podemos incrustar medios (imágenes, documentos, etc.) dentro de nuestro contenidos mediante el empleo de este protocolo.
Se ha detectado que el módulo no sanitiza (limpia) determinadas extensiones de ficheros, tal y como se detalla en la también emitida alerta de seguridad del core de Drupal del 18/11/2020.
Para solucionar este problema se ha publicado al actualización Media oEmbed 7.x-2.8.
Media: oEmbed - Critical - Remote Code Execution - SA-CONTRIB-2020-036 https://t.co/Ks0CA9C2QC
— Drupal Security (@drupalsecurity) November 18, 2020 - Examples for Developers.- Alerta crítica.- SA-CONTRIB-2020-035.
Example for Developers en un módulo de uso exclusivo en entornos de desarrollo y utilizable para desarrolladores de Drupal, que nos permite consultar numerosos ejemplos de implementación de funcionalidades a través de diversas APIs del core de la herramienta
El módulo no sanitiza (limpia) las extensiones de los archivos de igual manera a la alerta de seguridad del core de Drupal del 18/11/2020.
Debido a este hecho, los ejemplos relacionado con la subida de archivos se han suprimido hasta que se encuentre una solución para llevarlos a cabo de una manera más segura.
Debemos realizar la actualización Examples 3.0.2 si nuestra instalación es de Drupal 9, y Examples 8.x-1.1 si es con Drupal 8.
Examples for Developers - Critical - Remote Code Execution - SA-CONTRIB-2020-035 https://t.co/NqPL0gxd6F
— Drupal Security (@drupalsecurity) November 18, 2020
Las vulnerabilidades han sido identificadas y los desarrolladores de los módulos contribuidos han aplicado las correcciones necesarias para solucionarlas. Ahora debemos aplicarlas para proteger nuestro sitio y a nuestros usuarios. Sólo te llevará unos minutos. No lo dejes para más tarde.
Podemos encontrar toda la información sobre estas alertas de seguridad en el espacio web del Equipo de Seguridad de Drupal.