El equipos de seguridad de Drupal ha emitido una alerta crítica de seguridad en el núcleo de la herramienta por múltiples vulnerabilidades que requieren de una actualización inmediata de la misma.
En total se han emitido cuatro alertas de seguridad sobre el núcleo de Drupal de las cuales una es de carácter crítico y el resto de riesgo moderado. Debido a la cantidad y peligrosidad de la amenaza se recomienda la actualización inmediata de la herramienta. Las alertas que han sido emitidas son:
- Drupal Core.- Peligrosidad crítica.- Múltiples vulnerabilidades.- SA-CORE-2019-012.
Drupal utiliza una librería de terceros, Archive_Tar, que permite subir y descomprimir archivos .tar, .tar.gz, bz2 o tlz. Esta librería ha publicado una actualización de seguridad ya que se han detectado múltiples vulnerabilidades cuando, mediante el empleo de esta librería, se permite la ejecución de archivos con estas extensiones.
La actualización de la librería Archive_Tar, 1.4.9, que incorpora esta actualización de Drupal, soluciona las vulnerabilidades detectadas en el procesamiento de este tipo de archivos.
- Drupal Core.- Peligrosidad moderada.- Acceso sin privilegios.- SA-CORE-2019-011.
Se ha detectado una brecha de seguridad en el módulo Media Library, mediante la cual no se restringiría suficientemente el acceso a los medios en determinadas configuraciones.
Este vulnerabilidad se puede mitigar desactivando la opción "Activar opciones avanzadas" en el panel de administración del módulo. Como es un módulo propio de Drupal 8, las actualizaciones publicada de esta versión solucionan el problema
- Drupal Core.- Peligrosidad moderada.- Múltiples vulnerabilidades.- SA-CORE-2019-010.
La función file_save_upload() del core de la herramienta no elimina el punto inicial y final que pueda haber en los nombre de archivos como lo hacía Drupal 7. Los usuarios con los permisos necesarios para subir archivos empleando para ello módulos contribuidos podrían subir archivos de sistema, como son los archivos .htaccess con la intención de burlar las restricciones de acceso.
Con la actualización, la función mencionada eliminará los puntos iniciales y finales que pudieran contener los nombre de archivo que se suban al sistema.
- Drupal Core.- Peligrosidad moderada.- Denegación de servicio.- SA-CORE-2019-009.
Una visita al archivo de la raíz install.php puede causar que los datos de la cache se vean corrompidos. Esto puede causar que el sitio se vea afectada hasta que las cachés sean reconstruidas. La vulnerabilidad se ve mitigada por el hecho de que podemos bloquear el acceso a este archivo si no lo vamos a necesitar.
Para solucionar estas vulnerabilidades se han publicado las actualizaciones 7.69, 8.7.11 y 8.8.1. Como ya hemos comentado, es necesario actualizar la herramienta. La gran mayoría de los problemas que sufren los sistemas de gestión de contenidos open source derivan de una falta de mantenimiento de los mismos. Estos problemas de seguridad han sido detectados, se conocen y se han publicado las actualizaciones que los corrigen, pero sólo nosotros, como administradoras o administradores de los sitos que gestionamos, podemos aplicarlos.
Podemos encontrar toda la información relativa a esta alerta de seguridad en el espacio web del equipo de seguridad de Drupal.
Drupal core 7.69, 8.7.11 and 8.8.1 has been released to cover multiple SA's https://t.co/XEBDedjhPp for more information
— Drupal Security (@drupalsecurity) December 18, 2019