Si no ha actualizado recientemente su blog o sitio web comercial basado en Drupal a las últimas versiones disponibles, es el momento.
El equipo de desarrollo de Drupal lanzó ayer importantes actualizaciones de seguridad para su software de gestión de contenido de código abierto ampliamente utilizado que aborda una vulnerabilidad crítica y tres «moderadamente críticas» en su sistema central.
Teniendo en cuenta que los sitios web impulsados por Drupal se encuentran entre los objetivos favoritos de todos los tiempos para los piratas informáticos, se recomienda encarecidamente a los administradores del sitio web que instalen la última versión de Drupal 7.69, 8.7.11 u 8.8.1 para evitar que los piratas informáticos remotos comprometan los servidores web.
Vulnerabilidad crítica de enlaces simbólicos en Drupal
El único aviso con gravedad crítica incluye parches para múltiples vulnerabilidades en una biblioteca de terceros, llamada ‘Archive_Tar’, que Drupal Core usa para crear, listar, extraer y agregar archivos a archivos tar.
La vulnerabilidad reside en la forma en que la biblioteca afectada descomprime los archivos con enlaces simbólicos que, si se explotan, podrían permitir que un atacante sobrescriba archivos confidenciales en un servidor objetivo mediante la carga de un archivo tar creado con fines malintencionados.
Debido a esto, cabe señalar que la falla solo afecta a los sitios web de Drupal que están configurados para procesar archivos .tar, .tar.gz, .bz2 o .tlz cargados por usuarios que no son de confianza.
Según los desarrolladores de Drupal, ya existe un exploit de prueba de concepto para esta vulnerabilidad y, teniendo en cuenta la popularidad de los exploits de Drupal entre los piratas informáticos, es posible que los piratas exploten activamente esta falla para atacar los sitios web de Drupal.
Vulnerabilidades moderadamente críticas de Drupal
Además de esta vulnerabilidad crítica, los desarrolladores de Drupal también han parcheado tres vulnerabilidades «moderadamente críticas» en su software Core, cuyos breves detalles son los siguientes:
- Denegación de servicio (DoS): El archivo install.php utilizado por Drupal 8 Core contiene una falla que puede ser aprovechada por un atacante remoto no autenticado para afectar la disponibilidad de un sitio web objetivo al corromper sus datos almacenados en caché.
- Omisión de restricción de seguridad: La función de carga de archivos en Drupal 8 no elimina los puntos iniciales y finales (‘.’) de los nombres de archivo, que pueden ser utilizados por un atacante con capacidad de carga de archivos para sobrescribir archivos arbitrarios del sistema, como .htaccess para eludir las protecciones de seguridad.
- Acceso no autorizado: Esta vulnerabilidad existe en el módulo de biblioteca de medios predeterminado de Drupal cuando no restringe correctamente el acceso a los elementos de medios en ciertas configuraciones. Por lo tanto, podría permitir que un usuario con pocos privilegios obtenga acceso no autorizado a información confidencial que, de otro modo, estaría fuera de su alcance.
Según los desarrolladores, los administradores de sitios web afectados pueden mitigar la vulnerabilidad de omisión de medios de acceso desmarcando la casilla de verificación «Habilitar interfaz de usuario avanzada» en /admin/config/media/media-library, aunque esta mitigación no está disponible en 8.7.x.
Todas las vulnerabilidades «moderadamente críticas» anteriores se han parcheado con el lanzamiento de las versiones 8.7.11 y 8.8.1 de Drupal y, en el momento de escribir este artículo, no se ha puesto a disposición ninguna prueba de concepto para estas fallas.
Dado que existe una prueba de concepto para la vulnerabilidad crítica de Drupal, se recomienda encarecidamente a los usuarios que ejecutan versiones vulnerables de Drupal que actualicen su CMS a la última versión del núcleo de Drupal lo antes posible.
