600.000 Drupal 7-sites nog steeds kwetsbaar door ernstig lek
Een meerderheid van de websites die het contentmanagementsysteem (CMS) Drupal 7 gebruikt mist een belangrijke update voor een ernstig lek en loopt daardoor het risico door cybercriminelen te worden overgenomen, hoewel ze van de Drupal-ontwikkelaars er vanuit moeten gaan dat dit al het geval is.
Op 15 oktober patchte Drupal namelijk een ernstig lek in het cms. Via het lek kan een aanvaller op afstand de website overnemen. Zeven uur na het uitkomen van de patch werden de eerste aanvallen al waargenomen. In een update stelde het Drupal-ontwikkelteam dat alle Drupal 7-sites die zeven uur na het uitkomen van de patch niet waren gepatcht, ervan moeten uitgaan dat ze zijn gecompromitteerd.
Statistieken
Het Drupal-ontwikkelteam publiceert elke week verschillende statistieken met betrekking tot het aantal gebruikers. Op 2 november waren er meer dan 965.000 websites die Drupal 7 als cms gebruikten, waarmee dit veruit de populairste versie is. In totaal zijn er namelijk 1,1 miljoen websites die op Drupal draaien. Van de 965.000 Drupal 7-sites beschikken er 318.000 over versie 7.32, waarin het ernstige lek is opgelost.
Daarnaast zijn er nog zo'n 40.000 websites die een versie met een hoger versienummer gebruiken. Ongeveer 600.000 sites draaien echter een versie onder 7.32 en zijn daardoor in theorie kwetsbaar. Hierbij moet wel worden opgemerkt dat het mogelijk is om het lek te patchen zonder naar versie 7.32 of nieuwer te upgraden, maar het geeft wel aan dat veel websites nog steeds kwetsbaar zijn.
Ik hoop dat die 600.000 sites de 1-regel-aanpassing doorgevoerd hebben, maar ik ben bang van niet.
Ik hoop dat die 600.000 sites de 1-regel-aanpassing doorgevoerd hebben, maar ik ben bang van niet.
Kom nou toch... Een fix die binnen 7 uur uitgevoerd moet worden (want anders is je site gecompromitteerd) daar kan je als CMS-leverancier toch niet mee aankomen! (Daarmee zet je jezelf in een kwaad daglicht.)
Zelf was ik niet thuis zodat ik pas na 7 uur en 5 minuten de fix kon uitvoeren. Dat was 5 minuten te laat, dus mijn site is waarschijnlijk gecompromitteerd. Een backup terughalen of vanaf start de site opnieuw opbouwen met Drupal? Laat maar, vaarwel Drupal, vaarwel PHP...
En wat voor cms systeem ga je nu gebruiken?
En wat voor cms systeem ga je nu gebruiken?
Waarom een out-of-the-box CMS gebruiken?
Als er dan wat lek is weet je zeker dat iedereen het weet.
Huh? "Het versie nummer zegt niks over kwetsbaar zijn, maar geeft wel aan dat veel websites kwetsbaar zijn"?
Ik denk dat ik platte passieve HTML ga gebruiken.
Als ik een CMS zou gaan gebruiken dan zou het denk ik Magnolia CMS zijn.
http://www.magnolia-cms.com/product/features/security.html
Ja, want daar zal nooit of te nimmer een security issue in voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
