Versiones de Drupal anteriores a:
- Drupal 9.1.3
- Drupal 9.0.11
- Drupal 8.9.13
- Drupal 7.8;
Se ha detectado una nueva vulnerabilidad crítica que afecta a la biblioteca pear Archive_Tar. Esta vulnerabilidad podría permitir a un atacante realizar operaciones de escritura con Directory Traversal, debido a una inadecuada comprobación de los enlaces simbólicos.
Se recomienda actualizar Drupal a la última versión disponible, para ello puedes acceder a los siguientes enlaces:
- Si utilizas Drupal 9.1, actualiza a Drupal 9.1.3.
- Si utilizas Drupal 9.0, actualiza a Drupal 9.0.11.
- Si utilizas Drupal 8.9, actualiza a Drupal 8.9.13.
- Si utilizas Drupal 7, actualiza a Drupal 7.78.
Las versiones de Drupal 8 anteriores a la 8.9.x no recibirán actualizaciones de seguridad por estar al final de su vida útil.
También se recomienda desactivar la subida de los archivos .tar, .tar.gz, .bz2 y .tlz
Importante: Recuerda hacer una copia de seguridad de los archivos de tu servidor y de la base de datos, antes de proceder a actualizar tu gestor de contenidos. A, además, es recomendable realizar pruebas previas en entornos de preproducción y comprobar que todo funciona correctamente tras la actualización.
Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en casos reales:
- ¿Humano o bot? Protege tu web con sistemas captcha
- Celebra el Día Mundial de las Contraseñas, la puerta de entrada a todos tus servicios
- Qué es una DMZ y cómo te puede ayudar a proteger tu empresa
- Historias reales: web segura cumpliendo la ley
- 5 razones para hacer copias de seguridad de tu web
Esta actualización corrige una vulnerabilidad considerada como crítica, que afecta a la biblioteca pear Archive_Tar, y que podría permitir a un ciberdelincuente ejecutar exploits mediante la subida de archivos tipo .tar, .tar.gz, .bz2, o .tlz. Mediante estos explotis, el atacante puede realizar operaciones de escritura con Directory Traversal, debido a una inadecuada comprobación de los enlaces simbólicos.