Drupal ha lanzado una actualización de seguridad para abordar una vulnerabilidad crítica en una biblioteca de terceros con exploits documentados o implementados disponibles en la naturaleza.
«El proyecto Drupal utiliza la biblioteca Pear Archive_Tar, que ha lanzado una actualización de seguridad que afecta a Drupal», dijo el equipo de seguridad de Drupal.
Drupal es utilizado por alrededor del 2,4 % de todos los sitios con sistemas de gestión de contenido, lo que lo convierte en el quinto CMS más popular en Internet, después de WordPress (64,1 %), Shopify (5,2 %), Joomla (3,5 %) y Squarespace (2,5 %). . .
Actualizaciones de seguridad para todas las versiones afectadas
De acuerdo con el aviso de seguridad de Drupal, la vulnerabilidad es causada por un error en la biblioteca PEAR Archive_Tar utilizada por el CMS rastreado como CVE-2020-36193.
El error provoca vulnerabilidades de extracción fuera de la ruta a través de «operaciones de escritura con Directory Traversal debido a una verificación de enlace simbólico inadecuada».
La explotación exitosa requiere acceso a cuentas de usuario con permisos básicos en servidores con configuraciones de módulos inusuales.
La explotación de la vulnerabilidad de Drupal solo es posible si el CMS está configurado para permitir y procesar descargas de archivos .tar, .tar.gz, .bz2 o .tlz.
Después de la explotación, los atacantes pueden modificar o eliminar todos los datos y también pueden acceder a todos los datos no públicos disponibles en el servidor comprometido.
Drupal recomienda instalar las siguientes actualizaciones en los servidores afectados:
«Las versiones de Drupal 8 anteriores a 8.9.x están al final de su vida útil y no tienen cobertura de seguridad», agregó el equipo de seguridad de Drupal.
Esta vulnerabilidad está relacionada con otra falla de seguridad crítica con exploits conocidos causados por el error CVE-2020-28948 en la biblioteca PEAR Archive_Tar que podría permitir la ejecución arbitraria de código PHP en ciertas versiones del CMS.
Drupal lanzó una actualización de seguridad fuera de banda de emergencia para solucionarlo en noviembre, lo que permitió a los administradores parchear rápidamente sus servidores para defenderse de posibles ataques.
Atenuación disponible
Las medidas de mitigación están disponibles para los administradores que no pueden implementar inmediatamente la actualización de seguridad en sus servidores Drupal.
Para hacerlo, se les recomienda deshabilitar las descargas de archivos .tar, .tar.gz, .bz2 o .tlz para aliviar el problema temporalmente.
DHS-CISA también emitió una alerta el jueves instando a los administradores y usuarios a actualizar Drupal para evitar que los atacantes se apoderen de servidores sin parches.
Drupal corrigió otra vulnerabilidad crítica de ejecución remota de código rastreada como CVE-2020-13671 y permitir que los atacantes ejecuten código malicioso en servidores vulnerables debido a la desinfección incorrecta del nombre de archivo para los archivos descargados.
“Preste especial atención a las siguientes extensiones de archivo, que deben considerarse peligrosas incluso cuando van seguidas de una o más extensiones adicionales: phar, PHP, pl, py, cgi, asp, js, HTML, htm y phtml”, dijo Drupal en el tiempo.
«Esta lista no es exhaustiva, así que evalúe las preocupaciones de seguridad para otras extensiones no modificadas caso por caso».