Nieuws

Zeer ernstige beveiligingslekken in Drupal-modules gedicht

donderdag 14 juli 2016, 10:24 door Redactie, 13 reacties

In verschillende modules van het populaire contentmanagementsysteem Drupal zijn zeer ernstige beveiligingslekken gedicht waardoor een aanvaller kwetsbare websites volledig kon overnemen. De kwetsbaarheden bevinden zich in de third-party modules RESTWS, Coder en Webform.

De kwetsbaarheden hebben een score van 22 punten op een schaal van 25 gekregen. Het gaat in dit geval om zeer ernstige beveiligingslekken die op afstand door een aanvaller zijn te misbruiken om het systeem over te nemen. Er is geen interactie van de webmaster vereist om misbruik van de kwetsbaarheid te maken.

Volgens de Drupal-ontwikkelaars zijn de modules in kwestie op maximaal 10.000 websites geïnstalleerd. De eigenaren van deze websites krijgen het dringende advies om de updates direct te installeren. Het Drupal Security Team verwacht namelijk dat aanvallers binnen enkele uren of dagen na het uitkomen van de updates kwetsbare websites zullen aanvallen.

Celstraf voor man die hielp bij hacken defensiebedrijven VS

Tor Project kiest nieuwe raad van bestuur

Reacties (13)

14-07-2016, 10:33 door [Account Verwijderd] - Bijgewerkt: 14-07-2016, 10:34

[Verwijderd]

14-07-2016, 11:15 door Anoniem

Komt niet in de buurt van Drupalgeddon, dat betrof Drupal core, impact was honderden malen groter.
Onzin opmerking over goedkoop = duurkoop zal ik niet serieus nemen.

14-07-2016, 12:36 door Anoniem

OpenSource is toch wel geweldig. Code zou toch beter moeten zijn, omdat iedereen de code kan zien? Dit is iedere keer een argument van de Fanboys. Dit zou de code beter moeten maken.

Terwijl de grote OpenSource website producten juist iedere keer vaak het tegenoverstelde laten zijn. Er zitten iedere keer grote fouten is, waar het Internet weer veel last van heeft.

Wel gemakkelijk voor de hackers, die kunnen de fouten er zo uithalen en misbruiken.

14-07-2016, 12:52 door Anoniem

Toch maar even updaten dan vanavond.

14-07-2016, 13:00 door [Account Verwijderd]

[Verwijderd]

14-07-2016, 14:47 door Anoniem

Door Anoniem: OpenSource is toch wel geweldig. Code zou toch beter moeten zijn, omdat iedereen de code kan zien? Dit is iedere keer een argument van de Fanboys. Dit zou de code beter moeten maken.

Terwijl de grote OpenSource website producten juist iedere keer vaak het tegenoverstelde laten zijn. Er zitten iedere keer grote fouten is, waar het Internet weer veel last van heeft.

Wel gemakkelijk voor de hackers, die kunnen de fouten er zo uithalen en misbruiken.

Open Source is ook beter, maar als je geen geld beschikbaar wilt stellen voor een fatsoenlijke Audit, ja, dan sla je altijd de plank mis. We hoeven maar aan niet-CMS zaken te denken zoals bij HeartBlead.

14-07-2016, 14:59 door Anoniem

Dat zou ik maar beter wel doen want het goedkope PHP (ontwikkelaars en server ondersteuning zijn goedkoop) zorgt voor veel, erg veel ellende.

Heldere communicatie over security issues & patches is ellende?
Door alle code achter slot en grendel te stoppen hou je georganiseerde cybercriminaliteit echt niet buiten de deur hoor....

14-07-2016, 15:10 door Anoniem

Als je een van de modules in gebruik hebt dan ben je net zo zwaar de klos.

Er zijn vooralsnog geen mass exploits voor deze lekken waargenomen sinds gisterenavond 18:00, waar bij Drupalgeddon al binnen enkele uren de eerste exploits op grootte schaal door botnets werden uitgebuit, dus nee...
Zwaar de klos ben je hooguit als je zo slim bent geen updates te installeren, dan is het idd gewoon een kwestie van afwachten...

14-07-2016, 16:36 door [Account Verwijderd]

[Verwijderd]

14-07-2016, 16:36 door [Account Verwijderd]

[Verwijderd]

14-07-2016, 18:25 door Anoniem

Stel je bent even een paar weken op vakantie en wilt niet elke dag op vakantie kijken of er weer wat aan de hand is? Dan kom je terug van vakantie en is het kwaad ondertussen geschied.

Het wordt er inderdaad niet leuker op nu lekken vrijwel direct op grote schaal worden aangevallen.
Op vakantie betekent voor mij vooral vrij zijn, oftewel; iemand regelen die voor me invalt, iets wat niet eenvoudig te regelen is.
Wat is het alternatief waarmee je deze problemen niet hebt dan, volgens jou?

14-07-2016, 19:07 door Anoniem

De notificaties via https://twitter.com/#!/drupalsecurity of de Drupal Security mailinglist zorgen ervoor dat je altijd weet wat er aan de hand is. Bij deze updates werd via deze kanalen vanwege de ernst 1 dag van tevoren ook aangekondigd dat er de volgende dag een aantal zeer belangrijke security updates zouden worden bekendgemaakt. Dus voldoende tijd om alle voorbereidingen te treffen zou ik denken.

Hobbyisten zullen zelfs dit wellicht wat teveel gedoe vinden omdat ze niet elke dag tijdens hun vakantie willen kijken wat er aan de hand is...

14-07-2016, 23:38 door [Account Verwijderd] - Bijgewerkt: 14-07-2016, 23:40

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer