Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
-
▼
noviembre
(Total:
29
)
- El CNI detecta un aumento "cuantitativo y cualitat...
- Una nueva funcionalidad de Microsoft 365 es el "ma...
- Segunda actualización de emergencia para el CMS Dr...
- Nuevas víctimas de REvil ransomware: Vialidad Arge...
- Un empleado sube un Excel a GitHub con datos perso...
- Configurar correo electrónico seguro con SPF, DMAR...
- Vulnerabilidad crítica en MobileIron RCE de junio ...
- Zero Day: vulnerabilidad 2FA bypass en cPanel y WHM
- Investigador descubre accidentalmente 0-day en Win...
- Expuestas más de 300K+ cuentas de usuarios Spotify
- La Generalitat Catalunya sufre un fallo de segurid...
- TikTok corrige errores que permitían tomar el cont...
- Periodista holandés se filtra en una reunión "secr...
- La lista de las peores contraseñas de 2020
- Ransomware Ragnar Locker hackea la empresa multina...
- Fallo en Facebook Messenger permitía escuchar audi...
- Graves vulnerabilidades en VMWare y publican lista...
- Disponibles Kali Linux 2020.4 y Tails 4.13
- Ataque de ransomware hace que las impresoras impri...
- Datos de 3.2 millones de cuentas de Pluto TV han s...
- Defendiendo a los desarrolladores: youtube-dl está...
- Usuarios de Android demandan a Google por consumir...
- El envenenamiento de la caché de DNS, el ataque de...
- Problemas privacidad con GateKeeper de macOS 11 Bi...
- Activar medidas privacidad Navegador Firefox, Chro...
- Google Fotos dice adiós al espacio ilimitado; deja...
- Activar Windows 10-11 mediante Licencia Digital (H...
- Ransomware REvil afirma en una entrevista haber ga...
- Google descubre grave 0-day en el Kernel de Window...
- ► septiembre (Total: 21 )
-
▼
noviembre
(Total:
29
)
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Segunda actualización de emergencia para el CMS Drupal
El gestor de contenidos (CMS) Drupal ha publicado actualizaciones de seguridad de emergencia para abordar una vulnerabilidad crítica con exploits conocidos que podrían permitir la ejecución arbitraria de código PHP en algunas versiones de CMS. La semana pasada también hubo un parche muy importante seguridad para el CMS Drupal, un RCE, remote code execution con id CVE-2020-13671 permite subir ficheros maliciosos con doble extensión shell.php.txt, También hay varias actualizaciones de seguridad importantes y variadas (CSRF y SQL injection Core - SQL injection in com_users list view) para el CMS Joomla!
Drupal emite una solución de emergencia (parche) para un error crítico con exploits conocidos
"De acuerdo con el cronograma de la ventana de lanzamiento de seguridad regular, el 25 de noviembre no sería normalmente una ventana de seguridad central", dijo Drupal.
"Sin embargo, esta versión es necesaria porque hay exploits conocidos para una de las dependencias del núcleo y algunas configuraciones de Drupal son vulnerables".
En este momento, más de 944,000 sitios web están utilizando versiones vulnerables de Drupal de un total de 1,120,941 según las estadísticas oficiales. "Estas estadísticas están incompletas; sólo los sitios web de Drupal que utilizan el módulo de estado de actualización se incluyen en los datos", dice Drupal.
Drupal también es utilizado por el 2.5% de todos los sitios web con sistemas de administración de contenido, lo que lo convierte en el cuarto CMS más popular en Internet, después de WordPress (63.8%), Shopify (5.1%) y Joomla (3.6%).
Actualizaciones de seguridad para todas las versiones afectadas
Según el aviso de seguridad de Drupal, la vulnerabilidad es causada por dos errores en la biblioteca PEAR Archive_Tar utilizada por el sistema de gestión de contenido (CMS) rastreado como CVE-2020-28948 y CVE-2020-28949.
La vulnerabilidad crítica de ejecución del código Drupal se puede aprovechar si el CMS está configurado para permitir y procesar la carga de archivos .tar, .tar.gz, .bz2 o .tlz.
Se emitieron varias actualizaciones de seguridad de Drupal para corregir el error y permitir a los administradores parchear rápidamente sus servidores para protegerlos de posibles ataques.
Drupal recomienda instalar las siguientes actualizaciones en los servidores afectados:
- Los usuarios de Drupal 9.0 deben actualizar a Drupal 9.0.9
- Los usuarios de Drupal 8.9 deben actualizar a Drupal 8.9.10
- Los usuarios de Drupal 8.8 o anteriores deben actualizar a Drupal 8.8.12
- Los usuarios de Drupal 7 deben actualizar a Drupal 7.75
"Las versiones de Drupal 8 anteriores a 8.8.x están al final de su vida útil y no reciben cobertura de seguridad", dijo el equipo de seguridad de Drupal.
Medidas de mitigación también disponibles
Las medidas de mitigación también están disponibles para los administradores que no pueden actualizar inmediatamente la instalación de Drupal en sus servidores.
Para hacerlo, se recomienda a los administradores del sitio que bloqueen a los usuarios que no son de confianza para que no carguen archivos .tar, .tar.gz, .bz2 o .tlz para mitigar temporalmente el problema.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional también ha emitido una alerta hoy instando a los administradores y usuarios a actualizar a las versiones parcheadas de Drupal.
Drupal core - Critical - Remote code execution - SA-CORE-2020-012
La semana pasada, Drupal parcheó otra vulnerabilidad crítica de ejecución remota de código rastreada como CVE-2020-13671 y causada por una desinfección incorrecta de los nombres de los archivos cargados.
"Preste especial atención a las siguientes extensiones de archivo, que deben considerarse peligrosas incluso cuando van seguidas de una o más extensiones adicionales: phar, PHP, pl, py, cgi, asp, js, HTML, htm y phtml", dijo la compañía.
Un parche seguridad importante para el CMS Drupal, un RCE, remote code execution con id CVE-2020-13671 permite subir ficheros maliciosos con doble extensión filename.php.txt
- phar
- php
- pl
- py
- cgi
- asp
- js
- html
- htm
- phtml
"Esta lista no es exhaustiva, así que evalúe las preocupaciones de seguridad para otras extensiones no comunicadas caso por caso".
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.