image

Zeer ernstige beveiligingslekken in Drupal-modules gedicht

donderdag 14 juli 2016, 10:24 door Redactie, 13 reacties

In verschillende modules van het populaire contentmanagementsysteem Drupal zijn zeer ernstige beveiligingslekken gedicht waardoor een aanvaller kwetsbare websites volledig kon overnemen. De kwetsbaarheden bevinden zich in de third-party modules RESTWS, Coder en Webform.

De kwetsbaarheden hebben een score van 22 punten op een schaal van 25 gekregen. Het gaat in dit geval om zeer ernstige beveiligingslekken die op afstand door een aanvaller zijn te misbruiken om het systeem over te nemen. Er is geen interactie van de webmaster vereist om misbruik van de kwetsbaarheid te maken.

Volgens de Drupal-ontwikkelaars zijn de modules in kwestie op maximaal 10.000 websites geïnstalleerd. De eigenaren van deze websites krijgen het dringende advies om de updates direct te installeren. Het Drupal Security Team verwacht namelijk dat aanvallers binnen enkele uren of dagen na het uitkomen van de updates kwetsbare websites zullen aanvallen.

Reacties (13)
14-07-2016, 10:33 door [Account Verwijderd] - Bijgewerkt: 14-07-2016, 10:34
[Verwijderd]
14-07-2016, 11:15 door Anoniem
Komt niet in de buurt van Drupalgeddon, dat betrof Drupal core, impact was honderden malen groter.
Onzin opmerking over goedkoop = duurkoop zal ik niet serieus nemen.
14-07-2016, 12:36 door Anoniem
OpenSource is toch wel geweldig. Code zou toch beter moeten zijn, omdat iedereen de code kan zien? Dit is iedere keer een argument van de Fanboys. Dit zou de code beter moeten maken.

Terwijl de grote OpenSource website producten juist iedere keer vaak het tegenoverstelde laten zijn. Er zitten iedere keer grote fouten is, waar het Internet weer veel last van heeft.

Wel gemakkelijk voor de hackers, die kunnen de fouten er zo uithalen en misbruiken.
14-07-2016, 12:52 door Anoniem
Toch maar even updaten dan vanavond.
14-07-2016, 13:00 door [Account Verwijderd]
[Verwijderd]
14-07-2016, 14:47 door Anoniem
Door Anoniem: OpenSource is toch wel geweldig. Code zou toch beter moeten zijn, omdat iedereen de code kan zien? Dit is iedere keer een argument van de Fanboys. Dit zou de code beter moeten maken.

Terwijl de grote OpenSource website producten juist iedere keer vaak het tegenoverstelde laten zijn. Er zitten iedere keer grote fouten is, waar het Internet weer veel last van heeft.

Wel gemakkelijk voor de hackers, die kunnen de fouten er zo uithalen en misbruiken.
Open Source is ook beter, maar als je geen geld beschikbaar wilt stellen voor een fatsoenlijke Audit, ja, dan sla je altijd de plank mis. We hoeven maar aan niet-CMS zaken te denken zoals bij HeartBlead.
14-07-2016, 14:59 door Anoniem
Dat zou ik maar beter wel doen want het goedkope PHP (ontwikkelaars en server ondersteuning zijn goedkoop) zorgt voor veel, erg veel ellende.
Heldere communicatie over security issues & patches is ellende?
Door alle code achter slot en grendel te stoppen hou je georganiseerde cybercriminaliteit echt niet buiten de deur hoor....
14-07-2016, 15:10 door Anoniem
Als je een van de modules in gebruik hebt dan ben je net zo zwaar de klos.

Er zijn vooralsnog geen mass exploits voor deze lekken waargenomen sinds gisterenavond 18:00, waar bij Drupalgeddon al binnen enkele uren de eerste exploits op grootte schaal door botnets werden uitgebuit, dus nee...
Zwaar de klos ben je hooguit als je zo slim bent geen updates te installeren, dan is het idd gewoon een kwestie van afwachten...
14-07-2016, 16:36 door [Account Verwijderd]
[Verwijderd]
14-07-2016, 16:36 door [Account Verwijderd]
[Verwijderd]
14-07-2016, 18:25 door Anoniem
Stel je bent even een paar weken op vakantie en wilt niet elke dag op vakantie kijken of er weer wat aan de hand is? Dan kom je terug van vakantie en is het kwaad ondertussen geschied.

Het wordt er inderdaad niet leuker op nu lekken vrijwel direct op grote schaal worden aangevallen.
Op vakantie betekent voor mij vooral vrij zijn, oftewel; iemand regelen die voor me invalt, iets wat niet eenvoudig te regelen is.
Wat is het alternatief waarmee je deze problemen niet hebt dan, volgens jou?
14-07-2016, 19:07 door Anoniem
De notificaties via https://twitter.com/#!/drupalsecurity of de Drupal Security mailinglist zorgen ervoor dat je altijd weet wat er aan de hand is. Bij deze updates werd via deze kanalen vanwege de ernst 1 dag van tevoren ook aangekondigd dat er de volgende dag een aantal zeer belangrijke security updates zouden worden bekendgemaakt. Dus voldoende tijd om alle voorbereidingen te treffen zou ik denken.

Hobbyisten zullen zelfs dit wellicht wat teveel gedoe vinden omdat ze niet elke dag tijdens hun vakantie willen kijken wat er aan de hand is...
14-07-2016, 23:38 door [Account Verwijderd] - Bijgewerkt: 14-07-2016, 23:40
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.