El equipo de
seguridad de Drupal ha publicado una actualización para Drupal 8.x que corrige
varias vulnerabilidades en librerías de terceros incluidas en Drupal Core,
catalogada de Importancia: 3 - Media
Recursos afectados:
- Todas las
versiones de Drupal 8.x anteriores a 8.5.6
Recomendación
- Actualizar a
Drupal core 8.5.6
Las versiones
anteriores a 8.5.x están fuera de ciclo de vida y no recibirán actualizaciones.
Detalle
de vulnerabilidades:
Las librerias
Symfony, Zend Feed y Diactoros incluidas en el core de Drupal han realizado una
actualización de seguridad para corregir una vulnerabilidad por la utilización
de cabeceras HTTP obsoletas o que suponen un riesgo. El core de Drupal solo
utiliza esta funcionalidad en la librería Symfony. Puede consultar el detalle
del aviso de esta librería en su pagina web. Aunque Drupal core no utiliza la
funcionalidad vulnerable de las librerías Zend Feed y Diactoros, si su sitio
web utiliza estos módulos, debe revisar su aviso de seguridad.
Más información
·
Drupal
Core - 3rd-party libraries -SA-CORE-2018-005 https://www.drupal.org/SA-CORE-2018-005
·
CVE-2018-14773:
Remove support for legacy and risky HTTP headers https://symfony.com/blog/cve-2018-14773-remove-support-for-legacy-and-risky-http-headers
Fuente: INCIBE