miércoles, 17 de abril de 2019

Drupal lanza actualizaciones de Core CMS para parchar varias vulnerabilidades


Drupal, el popular sistema de gestión de contenido de código abierto, ha lanzado actualizaciones de seguridad para abordar múltiples vulnerabilidades "moderadamente críticas" en Drupal Core que podrían permitir que los atacantes remotos comprometan la seguridad de cientos de miles de sitios web.

De acuerdo con los avisos publicados hoy por los desarrolladores de Drupal, todas las vulnerabilidades de seguridad que Drupal parchó este mes residen en bibliotecas de terceros que se incluyen en Drupal 8.6, Drupal 8.5 o anterior y Drupal 7.

Una de las fallas de seguridad es una vulnerabilidad de secuencias de comandos entre sitios (XSS) que reside en un complemento de terceros, llamado JQuery, la biblioteca de JavaScript más popular utilizada por millones de sitios web y también viene preintegrada en Drupal Core.

La semana pasada, JQuery lanzó su última versión jQuery 3.4.0 para parchear la vulnerabilidad informada, que aún no ha asignado un número CVE, que afecta a todas las versiones anteriores de la biblioteca hasta esa fecha.

    "jQuery 3.4.0 incluye una solución para algunos comportamientos no deseados cuando se usa jQuery.extend (true, {}, ...). Si un objeto de origen no autorizado contiene una propiedad __proto__ enumerable, podría extender el prototipo nativo de Object," aviso explica

    "Es posible que esta vulnerabilidad sea explotable con algunos módulos de Drupal".

Las otras tres vulnerabilidades de seguridad residen en los componentes PHP de Symfony utilizados por Drupal Core que podrían resultar en scripts entre sitios (CVE-2019-10909), ejecución remota de código (CVE-2019-10910) y omisión de autenticación (CVE-2019-1091) los ataques.

Teniendo en cuenta la popularidad de las vulnerabilidades de Drupal entre los piratas informáticos, se recomienda encarecidamente instalar la última actualización del CMS lo antes posible:

    Si está utilizando Drupal 8.6, actualice a Drupal 8.6.15.
    Si está utilizando Drupal 8.5 o una versión anterior, actualice a Drupal 8.5.15.
    Si está utilizando Drupal 7, actualice a Drupal 7.66.

Hace casi dos meses, los mantenedores de Drupal solucionaron una vulnerabilidad crítica de RCE en Drupal Core sin revelar ningún detalle técnico de la falla que podría haber permitido a los atacantes remotos piratear el sitio web de sus clientes.

Pero a pesar de eso, el código de vulnerabilidad de prueba de concepto (PoC) para la vulnerabilidad se hizo público en Internet solo dos días después de que el equipo lanzara la versión parcheada de su software.

Y luego, varias personas y grupos de hackers comenzaron a explotar activamente la falla para instalar mineros de criptomonedas en sitios web vulnerables de Drupal que no actualizaron sus CMS a la última versión.

El año pasado, los atacantes también atacaron a cientos de miles de sitios web de Drupal en ataques masivos utilizando explotaciones extraordinarias aprovechando dos vulnerabilidades críticas de ejecución remota de código, que fueron denominadas Drupalgeddon2 y Drupalgeddon3.

También en esos casos, los ataques comenzaron poco después de que se publicara en Internet el código de explotación de PoC para ambas vulnerabilidades, que luego fue seguido por intentos de exploración y explotación de Internet a gran escala.

Conclusión: parche sus sitios web antes de que sea demasiado tarde.


Fuente: https://thehackernews.com/
No olvides Compartir...
Siguenos en twitter: @disoftin

No hay comentarios:

Publicar un comentario