image

Drupal dicht ernstig lek en adviseert om direct te updaten

donderdag 22 juni 2017, 12:32 door Redactie, 5 reacties

De ontwikkelaars van het populaire contentmanagementsysteem (cms) Drupal waarschuwen voor een ernstig beveiligingslek waardoor aanvallers websites kunnen overnemen en adviseren de update die het probleem verhelpt direct te installeren. In totaal gaat het om drie kwetsbaarheden die zijn verholpen.

Via het ernstige lek kon een aanvaller willekeurige code uitvoeren en zo volledige controle over de website krijgen. De overige twee kwetsbaarheden zijn minder ernstig en maken het mogelijk voor gebruikers die bestanden kunnen uploaden om die vervolgens aan te passen. Daarnaast konden bestanden die door anonieme gebruikers werden geupload door andere anonieme gebruikers worden bekeken. Drupal-beheerders krijgen het advies om direct te updaten naar Drupal 7.56 of 8.3.4.

Reacties (5)
22-06-2017, 13:34 door [Account Verwijderd]
[Verwijderd]
22-06-2017, 14:18 door Anoniem
Dit is de druppel! ;-)

Files uploaded by anonymous users into a private file system can be accessed by other anonymous users

De essentie van een anonieme transactie is dat je daarna niet meer weet wie die transactie heeft gedaan. De consequentie is dat een anonieme gebruiker zijn transactie niet kan terugdraaien - of dat iedereen dat kan.

Het alternatief is een pseudonieme transactie: een gebruiker krijgt bij zijn eerste bezoek (of wanneer hij doet alsof het zijn eerste bezoek is) een token, bij voorbeeld 0123456789ABCDEF. Dit kan in de vorm van een cookie, of in de vorm van een onderdeel van de URL structuur: https:/www.example.com/user/0123456789ABCDEF/action.cgi of https:/www.example.com/action.cgi?token=0123456789ABCDEF. Iedere volgende bezoeker die dit token meegeeft wordt dan verondersteld dezelfde bezoeker te zijn als degene aan wie het token is uitgegeven.
22-06-2017, 14:19 door Anoniem
Door Neb Poorten: Onmiddellijk... Het nieuwe Drupageddon dus?

https://www.drupal.org/PSA-2014-003

Beetje overdreven.
De exploit vereist wel wat setup en werkt alleen op drupal 8 (nog steeds minderheid van de drupal sites).

Ja update asap. maar het is niet het nieuwe druppalgeddon.

Drupal 8 moet je geleik doen, Drupal 7 moet je inplanned en doen.
22-06-2017, 16:01 door Anoniem
Door Neb Poorten: Onmiddellijk... Het nieuwe Drupageddon dus?

https://www.drupal.org/PSA-2014-003


en dan kom je met een link naar ene lek welke in 2014 patcht is?
als je die vandaag nog niet geïnstalleerd had heb je sowieso een probleem :p
22-06-2017, 23:04 door [Account Verwijderd] - Bijgewerkt: 22-06-2017, 23:05
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.