Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Drupal utilizará HTTPS para proteger su proceso de actualización
El equipo de seguridad de Drupal está trabajando para añadir soporte HTTPS y solucionar otros problemas en el mecanismo de actualización.
Los desarrolladores del sistema de gestión de contenidos Drupal están trabajando para asegurar el mecanismo de actualización del software después de que un investigador recientemente descubriera debilidades en él.
La semana pasada el investigador Fernando Arnaboldi de la firma de seguridad IOActive reveló varios problemas con el mecanismo de actualización en Drupal: una falla en el panel de administración de servicios para informar de errores durante la actualización, un cross-site request forgery (CSRF) que permitiría forzar a los administradores a desencadenar repetidas comprobaciones de actualizaciones y la falta de cifrado para las descargas de actualización.
Este último fue el más significativo, ya que podría haber permitido a los atacantes interceptar el tráfico entre un sitio basado en Drupal y los servidores oficiales de Drupal, para inyectar actualizaciones con una puerta tracera. Tal ataque podría comprometer el sitio y su base de datos.
Afortunadamente el equipo de seguridad de Drupal fue notificado con antelación y está trabajando para corregir las deficiencias de actualización. En los últimos días el equipo ha cambiado la infraestructura del proyecto de apoyo a HTTPS para que los procesos de actualización del núcleo de Drupal y sus módulos utilicen canales seguros.
Por ahora el equipo ha permitido actualizaciones HTTPS en Drush, un shell e interfaz de línea de comandos populares para Drupal. También han cambiado todos los enlaces de descarga a HTTPS.
El módulo para la actualización del núcleo todavía no utiliza un transporte seguro pero esto se está trabajando y se implementará en la próxima actualización de Drupal, dijo el equipo de seguridad en una entrada de blog.
Por ahora los administradores de sitios web pueden utilizar una versión compatible de Drush e implementar actualizaciones o pueden descargar manualmente los archivos desde las páginas correspondientes.
Los problemas de actualización fallida y la falla CSRF no se han abordado todavía, pero el equipo de seguridad de Drupal abrió entradas de rastreo para ellas y pidió a los desarrolladores contribuir con los parches.
