Drupal komt met aanvullende noodpatch voor ernstig lek
De ontwikkelaars van het Drupal-platform komen op 25 april met een aanvullende noodpatch voor een zeer ernstig beveiligingslek dat op 28 maart werd gepatcht. Beheerders van een Drupal-website krijgen het advies om de update snel te installeren, aangezien er een risico is dat ongepatchte websites uren of dagen na het uitkomen van de noodpatch zullen worden aangevallen.
Op 28 maart verscheen er een noodpatch voor een zeer ernstige kwetsbaarheid waardoor aanvallers Drupal-websites volledig kunnen overnemen. Alle Drupal-websites die deze noodpatch sinds 11 april niet hebben geïnstalleerd moeten volgens experts als gehackt worden beschouwd. Vorige week waarschuwde een securitybedrijf nog dat gehackte Drupal-sites door een botnet worden gebruikt voor het delven van cryptovaluta en het uitvoeren van ddos-aanvallen.
De noodpatch van 28 maart loste het probleem waarschijnlijk niet volledig op, aangezien er nu een aanvullende noodpatch is aangekondigd. Deze noodpatch verschijnt woensdag 25 april tussen 18:00 en 20:00 uur Nederlandse tijd voor Drupal 7.x, 8.4.x en 8.5.x. Meer dan een miljoen websites draaien deze versies van het Drupal-platform. De noodpatch vereist geen database-update.
*) Je reinste nonsens.
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Als deze applicaties hebben meestal gewoon domme programmeer fouten. In een andere taal zou je exact het zelfde hebben.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Je hebt het over: https://en.wikipedia.org/wiki/Rasmus_Lerdorf
"In 2003, Lerdorf was named in the MIT Technology Review TR100 as one of the top 100 innovators in the world under the age of 35." Dus het MIT bestaat volgens jou uit amateurs. Prachtig zo'n bewering zonder enige onderbouwing.
Owasp heeft wel wat over php https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet Weakly typed is gangbaar om iets snel werkend te krijgen met zeer strict komt er niets af.
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
De 'duvel' kent maar een beperkt aantal truuks en herhaalt die in oneindige variatie. De Drupalgedon2 kwetsbaarheid is een variant op een eerdere uit 2004 : https://github.com/nixawk/labs/issues/19[/ur]Safeguard your CMS - altijd patchen en upgraden, voer oude en verlaten bibliotheken af. Neem aanvullende best policy maatregelen. Beste admin, zorg dat het niet aan jou kan hebben gelegen.luntrus
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
Ik ga me niet steeds herhalen. Zoek maar op internet.
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Krakatau, serieus. Stop eens met je onprofessionele fanboy-achtige gebash. We weten dat je een hekel hebt aan PHP. Prima, doe lekker je ding in een andere taal. Maar met dit soort zinloze geflame jaag je mensen alleen maar weg van dit forum. Ik heb je gebruikersnaam al een paar keer gehoord als reden waarom mensen security.nl mijden. Doe iedereen een lol en stop ermee.
De waarheid doet natuurlijk pijn. Echter mensen wegjagen is natuurlijk ook niet de bedoeling. Dus ik zal erover ophouden.
De waarheid doet natuurlijk pijn.
De waarheid doet natuurlijk pijn.
(A)
(B)
Kijk, je kan niet (B) verlangen en bij (A) een sneer maken. Dat had je beter niet kunnen doen.
Het is namelijk niet zo dat ik met oogkleppen blijf kijken, of dat ik mijn mening als waarheid beschouw. Nee, het zijn de PHP scriptkiddies die dat doen. Niet omdat ze vanuit een kennis en brede ervaring spreken. Nee, omdat ze niet beter weten. Zielig eigenlijk, ware het niet dat ze steevast zo'n grote bek hebben.
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet
https://blog.ripstech.com/2017/security-flaws-in-the-php-core/
https://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/
Waar de bots draaien die deze zwakheden uitbuiten: https://www.webiron.com/file_lookup/2837661bd35755340f4677d8748cf297
Zie de diverse php files. Geassocieerde url: hxxp://54.39.23.28/1sh
Zie ook hier: https://feedyeti.com/hashtag.php?q=drupalgeddon2
(Monero minin g komt ook in beeld binnen zulke campagnes).
Eenvoudige script scanner: https:// github.com/0x4148/Drupalg eddon2_scanner
luntrus
Dank. Met dergelijke bots zijn niet gepatchte sites kansloos :-(
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
