image

Drupal dicht zeer ernstige kwetsbaarheid in software

dinsdag 19 juli 2016, 10:37 door Redactie, 1 reacties

De makers van het contentmanagementsysteem (cms) Drupal hebben een zeer ernstige kwetsbaarheid in de software gedicht. Via het lek kon een aanvaller op afstand websites die op Drupal draaien overnemen, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid.

Het probleem zit in de php-bibliotheek Guzzle waar Drupal 8 gebruik van maakt. Via deze bibliotheek voert Drupal server-side verzoeken uit. Door de kwetsbaarheid kan een aanvaller een eigen proxy-server opgeven die Guzzle vervolgens zal gebruiken. Het gaat hier om de httpoxy-aanval die gisteren werd onthuld.

Normaliter publiceert Drupal beveiligingsupdates altijd op woensdag, maar omdat httpoxy veel meer producten treft en gisteren werd bekendgemaakt is besloten om voor de verandering om maandag een update uit te brengen. Beheerders krijgen dan ook het advies naar Drupal 8.1.7 te updaten. Drupal versie 7 is niet kwetsbaar.

Reacties (1)
19-07-2016, 16:19 door Anoniem
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.