Categoría: Actualidad

Termina la campaña de CSIRT-CV “Ciberseguridad, una asignatura pendiente”. Durante estas dos semanas hemos querido dotar a los docentes de algunas herramientas, que estamos seguros que os servirán durante el curso que acaba de iniciarse, para formar a vuestros alumnos en ciberseguridad y que estén a salvo de las ciberamenazas que constantemente acechan en la Red.

Esperamos que los recursos e iniciativas que os hemos propuesto en esta campaña os ayuden a planificar algunas de vuestras clases y centrarlas en temas de ciberseguridad.

Si creéis que vuestros alumnos necesitan reforzar aún más sus conocimientos para navegar seguros por Internet, os aconsejamos que solicitéis nuestras jornadas de ciberseguridad en centros educativos disponibles en el siguiente enlace:

https://concienciat.gva.es/jornadas-de-ciberseguridad-en-centros-de-secundaria/

Estaremos encantados de atenderos y ayudaros a reforzar la cultura de ciberseguridad de vuestros alumnos.

¡Os esperamos!

Puedes encontrar los consejos de esta campaña en nuestras redes sociales Facebook y Twitter buscando el hashtag #EnseñaCiberseguridad y en nuestro portal concienciaT.

Se han detectado hasta 3 vulnerabilidades, una de ellas crítica, en PHP que podrían afectar al core.

Análisis
Se debe destacar la vulnerabilidad crítica con identificador CVE-2017-8923, se trata de una actualización de la misma. Esta vulnerabilidad está localizada en la función zend_string_extend, en Zend/zend_string.h. Si esta es explotada por un atacante podría causar una condición de denegación de servicio.

• Productos afectados
  • PHP 7, todas las versiones anteriores a la 7.4.24.
  • PHP 8, todas las versiones anteriores a la 8.0.11.

Recomendaciones
Se recomienda actualizar a las versiones PHP 7.4.24 y PHP 8.0.11.

• Referencias
  • https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-php-7-y-php-8
  • https://www.php.net/ChangeLog-7.php#7.4.24
  • https://www.php.net/ChangeLog-8.php#8.0.11

En CSIRT-CV perseguimos aumentar tanto el nivel de madurez en ciberseguridad, como la confianza en el uso de la tecnología de ciudadanos, empresas y el propio personal de GVA.

En esta nueva campaña que lanzamos, “Ciberseguridad, una asignatura pendiente”, hemos puesto el foco en los docentes para que puedan ayudar a sus alumnos en algunos temas relacionados con la ciberseguridad.

Los menores son un colectivo nativo digital que piensan que son “expertos” y que tienden a infravalorar los peligros a los que están expuestos, siendo precisamente, esa falta de sensación de seguridad lo que les hace más vulnerables.

Durante los años que llevamos impartiendo sesiones de ciberseguridad a alumnos de secundaria en colegios e institutos de toda la Comunidad Valenciana, nos hemos dado cuenta de la necesidad de introducir la ciberseguridad como un aspecto clave a tratar durante todo el curso académico.

Por eso, nuestro objetivo con esta campaña es proporcionar a los profesores los conocimientos y recursos necesarios en ciberseguridad para afrontar las situaciones del día a día en las que se ven envueltos sus alumnos. Esta campaña tiene un enfoque pedagógico y en ella se abordarán temas básicos de ciberseguridad que afectan a los menores.

Esperamos que os sea de gran utilidad en vuestras clases y que vuestros alumnos aprendan a identificar y a hacer frente de forma adecuada a las amenazas online, convirtiéndose así en auténticos human firewalls.

Podéis ampliar esta información a través de la siguiente página de GVA así como en nuestro portal de concienciación y formación: concienciaT. Donde se publicarán todos los consejos y materiales relacionados con la campaña una vez que esta finalice.

Mientras tanto, recuerda que cada día se publicará un consejo a través de nuestras redes sociales de Facebook y Twitter.

Recientemente Drupal ha publicado actualizaciones de seguridad para las versiones 8 y 9. En estas actualizaciones se corrigen 5 vulnerabilidades catalogadas con criticidad media. La versión 7 de Drupal no se ve afectada.

Análisis
Existen 2 vulnerabilidades que afectan al módulo QuickEdit, una de ellas (CVE-2020-13674) se produce porque no se validan correctamente los accesos a rutas, y podría provocar una fuga de información. La vulnerabilidad es de tipo cross-site request forgery (CSRF). La otra vulnerabilidad que afecta a este módulo, ocurre debido a que no se comprueban correctamente los accesos a algunos campos, y podría revelarse la información de los mismos.

Por otro lado existe una vulnerabilidad, en el módulo Drupal core media, de tipo inyección de código. Un atacante sin privilegios podría inyectar código en una página web, cuando otro usuario con privilegios accede a ella.

El módulo JSON:API tiene dos vulnerabilidades, una de ellas permite subir archivos a través de la API, y otra no restringe el acceso a algunos contenidos de forma correcta.

Por último el módulo REST/File presenta una vulnerabilidad que podría permitir la subida de archivos eludiendo el proceso de validación.

Recomendaciones
Actualizar la versión de Drupal de la siguiente forma:

• • Drupal 9.2, a la versión 9.2.6
  • Drupal 9.1, a la versión 9.1.13
  • Drupal 8.9, a la versión 8.9.19

Referencias
(1) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-1
(2) https://www.drupal.org/security
(3) https://tweakers.net/downloads/57448/drupal-8919-9113-926.html