10.05.2019

Seguridad Drupal: problemas con librerías

Se ha publicado una nueva actualización de seguridad que afecta al núcleo de Drupal y que soluciona una vulnerabilidad clasificada como moderadamente crítica. Este problema de seguridad afecta a las versiones 7 y 8 de Drupal, y es importante actualizar Drupal lo antes posible para no verse afectado por algún ataque.

Esta vulnerabilidad de librerías de terceros ha sido registrada como SA-CORE-2019-007.

¿Cuál es el problema detectado?

Esta actualización de seguridad corrige las dependencias de terceros incluidas o requeridas por el núcleo de Drupal.

La deserialización insegura es una vulnerabilidad que se produce cuando se utilizan datos no confiables para abusar de la lógica de una aplicación. En julio de 2018, se abordó la vulnerabilidad de la deserialización insegura al ejecutar archivos Phar eliminando el vector de ataque conocido en el núcleo TYPO3.

La implementación actual era vulnerable al recorrido de la ruta que conduce a escenarios en los que el archivo Phar que se va a evaluar no es el archivo real (comprometido).

Actualizando Drupal

Siempre es urgente actualizar Drupal cuando aparecen fallos de seguridad. Desde Dyn-o recomedamos encarecidamente actualizar la versión Drupal de tu web para evitar daños mayores. Instala la última versión de Drupal:

  • Si estás utilizando Drupal 8.6, actualízate a la versión 8.7.1
  • Si estás utilizando Drupal 7, actualízate a la versión 7.67

Existen varios métodos para actualizar el core de Drupal (en este caso referenciamos a Drupa 8):

  1. Manualmente: podéis seguir los pasos indicados aquí para actualizar Drupal
  2. Actualizando el core de Drupal via drush
  3. Actualizando el core de Drupal vía composer, si así ha sido instalado Drupal.

¿A qué esperas para actualizar tu web Drupal?

La seguridad, esencial para nosotros

La seguridad es una de las prioridades de nuestro hosting profesional para empresas. Por este motivo, en cuanto apareció esta vulnerabilidad de Drupal procedimos a actualizar todas las webs de nuestros clientes que están desarrolladas en Drupal.

Nuestro hosting profesional Drupal ya incluye todas las actualizaciones de seguridad de Core y de Módulos.