Fecha de publicación: Vie, 27/11/2020 - 11:21

El administrador de contenidos Drupal ha emitido recientemente actualizaciones de seguridad en el núcleo para subsanar vulnerabilidades con riesgo de seguridad crítico que podrían derivar en la ejecución arbitraria de código php y ejecución remota de código.

[1] Vulnerabilidad de doble extensión

La vulnerabilidad registrada como CVE-2020-13671, es fácil de explotar y se basa en el buen truco de la "doble extensión". Los atacantes pueden agregar una segunda extensión a un archivo malicioso, cargarlo en un sitio de Drupal a través de formularios con campos de archivos y ejecutar el archivo malicioso.

El núcleo de Drupal no desinfecta correctamente ciertos nombres de archivo en los archivos cargados, lo que puede hacer que los archivos se interpreten como la extensión incorrecta y sirvan como el tipo MIME incorrecto o se ejecuten como PHP para ciertas configuraciones de alojamiento.

Veriones afectadas:

Drupal 7, 8 y 9

Solución:

Actualizar a la versión más reciente dependiendo de la versión de Drupal utilizada.

  • Si está utilizando Drupal 9.0, actualice a Drupal 9.0.8
  • Si está utilizando Drupal 8.9, actualice a Drupal 8.9.9
  • Si está utilizando Drupal 8.8 o anterior, actualice a Drupal 8.8.11
  • Si está utilizando Drupal 7, actualice a Drupal 7.74

[2] Vulnerabilidad en librería PEAR Archive_Tar

Drupal utiliza la biblioteca PEAR Archive_Tar, misma que ha publicado una actualización de seguridad que afecta a Drupal y han sido identificadas con CVE-2020-28948 y CVE-2020-28949. Para mitigar este problema, evitar que los usuarios que no son de confianza carguen  archivos .tar, .tar.gz, .bz2 o .tlz.

Veriones afectadas:

Drupal 7, 8 y 9

Solución:

Actualizar a la versión más reciente dependiendo de la versión de Drupal utilizada.

  • Si está utilizando Drupal 7.x, actualiza a Drupal 7.75.
  • Si está utilizando Drupal 8.8.x, actualiza a Drupal 8.8.12.
  • Si está utilizando Drupal 8.9.x, actualiza a Drupal 8.9.10.
  • Si está utilizando Drupal 9.x, actualiza a Drupal 9.0.9

Si está en una versión de Drupal 8, anterior a la 8.8, debes actualizar a la última versión disponible, ya que las anteriores no cuentan con soporte.

Recomendación:

En cada caso revise las notas de la versión, se recomienda realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización y aplicar en producción.

Referencias:

[1]. https://www.drupal.org/sa-core-2020-012

[2]. https://www.drupal.org/sa-core-2020-013