image

600.000 Drupal 7-sites nog steeds kwetsbaar door ernstig lek

maandag 10 november 2014, 15:28 door Redactie, 10 reacties

Een meerderheid van de websites die het contentmanagementsysteem (CMS) Drupal 7 gebruikt mist een belangrijke update voor een ernstig lek en loopt daardoor het risico door cybercriminelen te worden overgenomen, hoewel ze van de Drupal-ontwikkelaars er vanuit moeten gaan dat dit al het geval is.

Op 15 oktober patchte Drupal namelijk een ernstig lek in het cms. Via het lek kan een aanvaller op afstand de website overnemen. Zeven uur na het uitkomen van de patch werden de eerste aanvallen al waargenomen. In een update stelde het Drupal-ontwikkelteam dat alle Drupal 7-sites die zeven uur na het uitkomen van de patch niet waren gepatcht, ervan moeten uitgaan dat ze zijn gecompromitteerd.

Statistieken

Het Drupal-ontwikkelteam publiceert elke week verschillende statistieken met betrekking tot het aantal gebruikers. Op 2 november waren er meer dan 965.000 websites die Drupal 7 als cms gebruikten, waarmee dit veruit de populairste versie is. In totaal zijn er namelijk 1,1 miljoen websites die op Drupal draaien. Van de 965.000 Drupal 7-sites beschikken er 318.000 over versie 7.32, waarin het ernstige lek is opgelost.

Daarnaast zijn er nog zo'n 40.000 websites die een versie met een hoger versienummer gebruiken. Ongeveer 600.000 sites draaien echter een versie onder 7.32 en zijn daardoor in theorie kwetsbaar. Hierbij moet wel worden opgemerkt dat het mogelijk is om het lek te patchen zonder naar versie 7.32 of nieuwer te upgraden, maar het geeft wel aan dat veel websites nog steeds kwetsbaar zijn.

Reacties (10)
10-11-2014, 15:48 door meinonA
Zo'n makkelijke fix; zoveel prutsers die Drupal hiermee in een kwaad daglicht zetten. :(

Ik hoop dat die 600.000 sites de 1-regel-aanpassing doorgevoerd hebben, maar ik ben bang van niet.
10-11-2014, 17:59 door giant
Inmiddels is versie 7.33 uitgekomen.
10-11-2014, 21:28 door [Account Verwijderd] - Bijgewerkt: 10-11-2014, 21:30
[Verwijderd]
10-11-2014, 22:42 door Anoniem
Door Krakatau:
Door meinonA: Zo'n makkelijke fix; zoveel prutsers die Drupal hiermee in een kwaad daglicht zetten. :(

Ik hoop dat die 600.000 sites de 1-regel-aanpassing doorgevoerd hebben, maar ik ben bang van niet.

Kom nou toch... Een fix die binnen 7 uur uitgevoerd moet worden (want anders is je site gecompromitteerd) daar kan je als CMS-leverancier toch niet mee aankomen! (Daarmee zet je jezelf in een kwaad daglicht.)

Zelf was ik niet thuis zodat ik pas na 7 uur en 5 minuten de fix kon uitvoeren. Dat was 5 minuten te laat, dus mijn site is waarschijnlijk gecompromitteerd. Een backup terughalen of vanaf start de site opnieuw opbouwen met Drupal? Laat maar, vaarwel Drupal, vaarwel PHP...

En wat voor cms systeem ga je nu gebruiken?
11-11-2014, 09:03 door Anoniem


En wat voor cms systeem ga je nu gebruiken?

Waarom een out-of-the-box CMS gebruiken?
Als er dan wat lek is weet je zeker dat iedereen het weet.
11-11-2014, 09:28 door Anoniem
"Hierbij moet wel worden opgemerkt dat het mogelijk is om het lek te patchen zonder naar versie 7.32 of nieuwer te upgraden, maar het geeft wel aan dat veel websites nog steeds kwetsbaar zijn."

Huh? "Het versie nummer zegt niks over kwetsbaar zijn, maar geeft wel aan dat veel websites kwetsbaar zijn"?
11-11-2014, 11:04 door [Account Verwijderd]
[Verwijderd]
11-11-2014, 12:05 door [Account Verwijderd] - Bijgewerkt: 11-11-2014, 13:15
[Verwijderd]
14-11-2014, 13:18 door meinonA
Door Krakatau:
Door Anoniem:En wat voor cms systeem ga je nu gebruiken?

Ik denk dat ik platte passieve HTML ga gebruiken.

Als ik een CMS zou gaan gebruiken dan zou het denk ik Magnolia CMS zijn.

http://www.magnolia-cms.com/product/features/security.html

Ja, want daar zal nooit of te nimmer een security issue in voorkomen.
18-11-2014, 15:34 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.