image

Drupal dicht zeer ernstig beveiligingslek in CMS

donderdag 16 oktober 2014, 10:43 door Redactie, 3 reacties

Het populaire content management systeem (CMS) Drupal, dat door meer dan 1 miljoen websites wordt gebruikt, heeft een zeer ernstig beveiligingslek gedicht waardoor aanvallers websites op allerlei manieren kunnen aanvallen. De kwetsbaarheid bevindt zich in een API (Application Progamming Interface) die SQL Injection-aanvallen moet voorkomen. Het lek in deze API maakt het uitvoeren van SQL Injection juist mogelijk.

Een aanvaller kan op deze manier zijn rechten op de website verhogen, willekeurige PHP-code uitvoeren en andere aanvallen uitvoeren. De kwetsbaarheid kan door anonieme gebruikers worden uitgevoerd. Het lek werd ontdekt door een bekende beveiligingsonderzoeker die in opdracht van een klant een audit van Drupal uitvoerde. Vanwege de impact hebben de ontwikkelaars van Drupal het lek als "highly critical" bestempeld.

Daarnaast zijn er inmiddels instructies op internet verschenen hoe het lek kan worden aangevallen. "Hoewel we nog geen berichten over actuele aanvallen hebben, zorgt de aard van dit lek ervoor dat een aanval lastig te detecteren is", aldus de ontwikkelaars in deze FAQ over het lek. De kwetsbaarheid is aanwezig in alle versies van Drupal 7. Gebruikers krijgen dan ook het advies om direct naar Drupal 7.32 te upgraden. Voor wie niet naar deze versie kan upgraden is er een patch verschenen.

Reacties (3)
16-10-2014, 11:03 door Anoniem
Pantheon, een gespecialiseerde Drupal hoster, heeft gemeld dat het al aanvallen ziet.
16-10-2014, 14:36 door [Account Verwijderd]
[Verwijderd]
16-10-2014, 18:43 door giant
Meteen updaten dus! (Ik heb de installatie voor mijn site meteen geüpdatet).
Bedankt, mijn site meteen geüpdatet naar versie 7.32.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.