Drupal emite una solución de emergencia para errores críticos con exploits conocidos


Drupal emite una solución de emergencia para errores críticos con exploits conocidos

Drupal ha publicado actualizaciones de seguridad de emergencia para abordar una vulnerabilidad crítica con exploits conocidos que podrían permitir la ejecución de código PHP arbitrario en algunas versiones de CMS.

"Bajo el cronograma de la ventana de lanzamiento de seguridad normal, el 25 de noviembre normalmente no sería una ventana de seguridad primaria", dijo Drupal.

"Sin embargo, esta versión es necesaria porque los exploits son conocidos por una de las dependencias centrales y algunas configuraciones de Drupal son vulnerables".

En este momento, más de 944,000 sitios web utilizan versiones vulnerables de Drupal de un total de 1,120,941 segundos. estadísticas oficiales. "Estas estadísticas están incompletas; solo los sitios web de Drupal que utilizan el módulo de estado de actualización se incluyen en los datos", dice Drupal.

Drupal también es utilizado por 2.5% de todos los sitios web con sistemas de gestión de contenido, lo que lo convierte en el cuarto CMS más popular en Internet, después de WordPress (63,8%), Shopify (5,1%) y Joomla (3,6%).

Índice()

    Actualizaciones de seguridad para todas las versiones afectadas

    Según Drupal's aviso de seguridad, la vulnerabilidad es causada por dos errores en la biblioteca PEAR Archive_Tar utilizada por el sistema de administración de contenido (CMS) monitoreado como CVE-2020-28948 es CVE-2020-28949.

    La vulnerabilidad crítica de ejecución del código Drupal podría explotarse si el CMS está configurado para permitir y procesar la carga de archivos .tar, .tar.gz, .bz2 o .tlz.

    Se han lanzado varias actualizaciones de seguridad de Drupal para corregir el error y permitir a los administradores parchear rápidamente sus servidores para protegerlos de posibles ataques.

    Drupal recomienda instalar las siguientes actualizaciones en los servidores afectados:

    "Las versiones de Drupal 8 anteriores a 8.8.x están al final de su ciclo de vida y no reciben cobertura de seguridad", dijo el equipo de seguridad de Drupal.

    Las medidas de mitigación también están disponibles

    También hay medidas de mitigación disponibles para los administradores que no pueden actualizar inmediatamente la instalación de Drupal en sus servidores.

    Para hacer esto, se recomienda a los administradores del sitio que eviten que usuarios que no sean de confianza carguen archivos .tar, .tar.gz, .bz2 o .tlz para mitigar temporalmente el problema.

    La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional también ha emitió una advertencia hoy instando a los administradores y usuarios a actualizar a las versiones parcheadas de Drupal.

    La semana pasada, Drupal Se solucionó otra vulnerabilidad crítica de ejecución remota de código. trazado como CVE-2020-13671 y causado por un saneamiento inadecuado del nombre de archivo para los archivos cargados.

    "Preste especial atención a las siguientes extensiones de archivo, que deben considerarse peligrosas incluso si van seguidas de una o más extensiones adicionales: phar, PHP, pl, py, cgi, asp, js, HTML, htm y phtml", dijo la compañía. .

    "Esta lista no es exhaustiva, así que considere las preocupaciones de seguridad para otras extensiones no modificadas caso por caso".

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir