• +54 (011) 4323-9362

  • de Lun a Vie de 9 a 17 hs

  • ciberseguridad@ba-csirt.gob.ar

  • ############################
    |A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
    ############################

    Vulnerabilidades de terceros en el core de Drupal
    02/08/2018
    =============================================
    CVE-2018-14773
    Fecha de lanzamiento: 01/08/2018
    Gravedad: Alta
    =============================================

    VULNERABILIDAD
    --------------------------------------------------------------------------------

    El equipo de seguridad de Drupal ha publicado una actualización que corrige varias vulnerabilidades en librerías de terceros incluidas en Drupal Core.

    INFORMACIÓN
    --------------------------------------------------------------------------------

    Drupal es un sistema de gestión de contenidos libre, modular, multipropósito y muy configurable que permite publicar artículos, imágenes, archivos y que también ofrece la posibilidad de otros servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos. Drupal es un sistema dinámico: en lugar de almacenar sus contenidos en archivos estáticos en el sistema de ficheros del servidor de forma fija, el contenido textual de las páginas y otras configuraciones son almacenados en una base de datos y se editan utilizando un entorno Web.

    DESCRIPCIÓN
    --------------------------------------------------------------------------------

    Las librerias Symfony, Zend Feed y Diactoros incluidas en el core de Drupal han realizado una actualización de seguridad para corregir una vulnerabilidad por la utilización de cabeceras HTTP obsoletas o que suponen un riesgo. El core de Drupal solo utiliza esta funcionalidad en la librería Symfony. Puede consultar el detalle del aviso de esta librería en su pagina web. Aunque Drupal core no utiliza la funcionalidad vulnerable de las librerías Zend Feed y Diactoros, si su sitio web utiliza estos módulos, debe revisar su aviso de seguridad.

    SISTEMAS AFECTADOS
    --------------------------------------------------------------------------------

    Todas las versiones de Drupal 8.x anteriores a 8.5.6

    SOLUCIÓN
    --------------------------------------------------------------------------------

    Actualizar a Drupal core 8.5.6
    Las versiones anteriores a 8.5.x están fuera de ciclo de vida y no recibirán actualizaciones.

    FUENTE
    --------------------------------------------------------------------------------

    https://www.certsi.es/