Salio un anuncio de seguridad referente a la falta de actualización del sitio web a drupal 7.32 (#drupalgeddon).
se puede ver el original en:
https://www.drupal.org/PSA-2014-003
La traducción es:
- Advisory ID: DRUPAL-PSA-2014-003
- Projecto: Drupal core
- Version: 7.x
- fecha: 29-Ctubre-2014
- Riesgo de seguridad: 25/25 ( Highly Critical) AC:None/A:None/CI:All/II:All/E:Exploit/TD:All
Descripción
Este anuncio de servicio público es una continuación de SA-CORE-2014-005 - núcleo de Drupal - inyección SQL . Esto no es un anuncio de una nueva vulnerabilidad en Drupal.
Ataques automatizados comenzaron a comprometer sitios web con Drupal 7 que no fueron parcheados o actualizados a Drupal 7.32 a pocas horas del anuncio de la SA-CORE-2014-005 - núcleo de Drupal - inyección SQL .
Usted debe proceder bajo la suposición de que cada sitio web de Drupal 7 esta comprometido a no ser que se haya actualizado o parcheado antes del 15 de octubre, 23:00 UTC, 7 horas después del anuncio.
Simplemente actualización a Drupal 7.32 no eliminará puertas traseras.
Si usted no ha actualizado o aplicado este parche , hágalo inmediatamente, luego seguir leyendo este anuncio; la actualización a la versión 7.32 o aplicar el parche corrige la vulnerabilidad, pero no corrige un sitio web ya comprometido. Si usted encuentra que su sitio ya está parcheado pero no lo hizo, eso puede ser un síntoma de que el sitio esta comprometido - algunos ataques han aplicado el parche como una manera de garantizar que son el único atacante en el control del sitio.
Control de datos y daños
Los atacantes pueden haber copiado todos los datos fuera de su sitio y podrían utilizarla maliciosamente. Puede que no haya rastro del ataque.
Echa un vistazo a nuestra documentación de ayuda, "Su sitio Drupal hackeado, ¿y ahora qué"
Recuperación
Los atacantes pueden haber creado puntos de acceso para ellos (a veces llamado "puertas traseras") en la base de datos, código, directorio de archivos y otros lugares. Los atacantes podrían poner en peligro otros servicios en el servidor o escalar su acceso.
Remover puertas traseras de un sitio web comprometido es difícil porque no es posible tener la certeza se han encontrado todas.
El equipo de seguridad de Drupal recomienda que usted consulte con su proveedor de hosting. Si no actualizo Drupal p o no bloqueo los ataques de inyección SQL horas después del anuncio de 15 de octubre, 16:00 UTC, lo mejor es restaurar su sitio web por una copia de seguridad anterior al 15 de octubre 2014:
- Pongas tu sitio offline (no en modo mantenimiento, sino que realmente lo quites de internet y pongas un HTML estático en reemplazo temporal)
- Notifiques al administrador de tu servidor enfatizando que otras aplicaciones en el servidor pueden haber sido comprometidas mediante el backdoor instalado por el ataque.
- Consideres cambiar a un nuevo servidor, o alternativamente quites todos los archivos y bases de datos de tu servidor. Guardando una copia para futuros análisis.
- Restaures el sitio (archivos y base de datos) de un backup de antes del 15 de Octubre.
- Actualices drupal a 7.32 o apliques el parche.
- Pongas el sitio actualizado otra vez en línea.
- Manualmente vuelvas a hacer los cambios hechos al sitio después del 15 de Octubre.
- Seas muy cuidadoso al incorporar cualquier cosa desde el sitio que fue comprometido, ya fuera código, configuración, archivos o cualquier otra cosa, asegurándote que no hayan sido modificados maliciosamente.
Mientras que la recuperación sin restaurar la copia de seguridad puede ser posible, esto no es recomendable porque las puertas traseras pueden ser extremadamente difíciles de encontrar. La recomendación es restaurar la copia de seguridad o reconstruir desde cero.
Para obtener más información, por favor consulte nuestra FAQ en SA-CORE-2014-005 .
Escrito por
- Michael Hess del Equipo de Seguridad de Drupal
- Bevan Rudge
Coordinado por
- Michael Hess del Equipo de Seguridad de Drupal
- Stéphane Corlosquet del Equipo de Seguridad de Drupal
- Greg Knaddison del Equipo de Seguridad de Drupal
- Rick Manelius del Equipo de Seguridad de Drupal
- Peter Wolanin del Equipo de Seguridad de Drupal
Contacto y más información
Hemos preparado un FAQ en esta versión. Lea más en FAQ en SA-CORE-2014-005 .
El equipo de seguridad de Drupal puede ser contactado en drupal.org oa través del formulario de contacto en https://www.drupal.org/contact .
Más información sobre el equipo de Drupal de Seguridad y sus políticas , la escritura de código seguro de Drupal , y la seguridad de su sitio .
Añadir nuevo comentario