Llegamos a ustedes gracias a:



Noticias

Drupal asegurará su proceso de actualización con HTTPS

[13/01/2016] Los desarrolladores del popular sistema de gestión de contenidos Drupal están trabajando para asegurar el mecanismo de actualización del software después de que un investigador descubriera recientemente debilidades en él.

La semana pasada, el investigador Fernando Arnaboldi de la firma de seguridad IOActive reveló varios problemas con el mecanismo de actualización en Drupal: El panel de administración de servicios de back end no informa de los errores de actualización, una falla tipo CSRF (cross-site request forgery) que podría permitir a los atacantes forzar a los administradores a lanzar repetidamente revisiones de la actualización y la falta de cifrado para las descargas de la actualización.

El último problema era el más significativo, ya que podría haber permitido a los atacantes interceptar el tráfico entre un sitio basado en Drupal y los servidores oficiales de Drupal, para inyectar actualizaciones con 'puertas traseras'. Tal ataque podría ocasionar la puesta en riesgo del sitio y de su base de datos.

Afortunadamente, el equipo de seguridad de Drupal fue notificado con antelación y está trabajando para corregir las deficiencias de la actualización. En los últimos días, el equipo ha cambiado la infraestructura del proyecto para que soporte HTTPS de tal forma que el proceso de actualización para el núcleo de Drupal y sus módulos use canales seguros.

Por ahora el equipo ha permitido actualizaciones HTTPS en Drush, una popular interfaz de línea de comandos y scripting para Drupal. También ha cambiado todos los enlaces de descarga de las páginas del proyecto a HTTPS.

El módulo principal de estado de la actualización todavía no utiliza un transporte seguro, pero esto se está trabajando y se implementará en la próxima actualización de Drupal, afirmó el equipo de seguridad en una entrada de blog.

Por ahora, los administradores de sitios web pueden utilizar una versión compatible de Drush para implementar las actualizaciones, o pueden descargar manualmente los archivos de lanzamiento de las correspondientes páginas de los proyectos.

El problema de la falla en la notificación de la actualización y la falla CSRF no se han abordado todavía, pero el equipo de seguridad de Drupal ha abierto tickets de seguimiento para ellos y pidió a los desarrolladores contribuir con parches.