image

Drupal komt met aanvullende noodpatch voor ernstig lek

dinsdag 24 april 2018, 09:59 door Redactie, 14 reacties

De ontwikkelaars van het Drupal-platform komen op 25 april met een aanvullende noodpatch voor een zeer ernstig beveiligingslek dat op 28 maart werd gepatcht. Beheerders van een Drupal-website krijgen het advies om de update snel te installeren, aangezien er een risico is dat ongepatchte websites uren of dagen na het uitkomen van de noodpatch zullen worden aangevallen.

Op 28 maart verscheen er een noodpatch voor een zeer ernstige kwetsbaarheid waardoor aanvallers Drupal-websites volledig kunnen overnemen. Alle Drupal-websites die deze noodpatch sinds 11 april niet hebben geïnstalleerd moeten volgens experts als gehackt worden beschouwd. Vorige week waarschuwde een securitybedrijf nog dat gehackte Drupal-sites door een botnet worden gebruikt voor het delven van cryptovaluta en het uitvoeren van ddos-aanvallen.

De noodpatch van 28 maart loste het probleem waarschijnlijk niet volledig op, aangezien er nu een aanvullende noodpatch is aangekondigd. Deze noodpatch verschijnt woensdag 25 april tussen 18:00 en 20:00 uur Nederlandse tijd voor Drupal 7.x, 8.4.x en 8.5.x. Meer dan een miljoen websites draaien deze versies van het Drupal-platform. De noodpatch vereist geen database-update.

Reacties (14)
24-04-2018, 10:22 door meinonA
Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!

*) Je reinste nonsens.
24-04-2018, 11:09 door Krakatau - Bijgewerkt: 24-04-2018, 11:11
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!

Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.

Door meinonA: *) Je reinste nonsens.

Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
24-04-2018, 11:28 door Anoniem
Door Krakatau:
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!

Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Gelukkig draaien er geen grote sites op het Internet me PHP.....

Als deze applicaties hebben meestal gewoon domme programmeer fouten. In een andere taal zou je exact het zelfde hebben.


Door meinonA: *) Je reinste nonsens.

Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Ik snap niet dat een professionele automatiseerder zo met oogkleppen kan kijken.
24-04-2018, 11:38 door karma4 - Bijgewerkt: 24-04-2018, 11:39
... dubbel ...
24-04-2018, 11:38 door karma4 - Bijgewerkt: 24-04-2018, 11:59
Door Krakatau: Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Zit je niet in de vriendenkring van een bepaalde politieke partij met bof binding die juist heel blij was met: https://www.ezcompany.nl/blog/nieuwe-website-gemeente-delft Die promotie kun je ook op hun gemeentelijk programma van die partij terugvinden.

Je hebt het over: https://en.wikipedia.org/wiki/Rasmus_Lerdorf
"In 2003, Lerdorf was named in the MIT Technology Review TR100 as one of the top 100 innovators in the world under the age of 35." Dus het MIT bestaat volgens jou uit amateurs. Prachtig zo'n bewering zonder enige onderbouwing.
Owasp heeft wel wat over php https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet Weakly typed is gangbaar om iets snel werkend te krijgen met zeer strict komt er niets af.
24-04-2018, 13:07 door Anoniem
Door Krakatau:
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!

Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.

Door meinonA: *) Je reinste nonsens.

Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!

Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
24-04-2018, 13:17 door Anoniem
Door Krakatau:
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!

Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.

Door meinonA: *) Je reinste nonsens.

Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Krakatau, serieus. Stop eens met je onprofessionele fanboy-achtige gebash. We weten dat je een hekel hebt aan PHP. Prima, doe lekker je ding in een andere taal. Maar met dit soort zinloze geflame jaag je mensen alleen maar weg van dit forum. Ik heb je gebruikersnaam al een paar keer gehoord als reden waarom mensen security.nl mijden. Doe iedereen een lol en stop ermee.
24-04-2018, 13:22 door Anoniem
Niets nieuws onder de zon en voor de patch uitkomt zijn er al kwetsbaarheidspercentages van meer dan 80% qua websites met dit framework, zo is het ook bij andere CMS als WordPress, Joomla, Magento (resp. 56%, 85% en 97% kwetsbaar).

De 'duvel' kent maar een beperkt aantal truuks en herhaalt die in oneindige variatie. De Drupalgedon2 kwetsbaarheid is een variant op een eerdere uit 2004 : https://github.com/nixawk/labs/issues/19[/ur]Safeguard your CMS - altijd patchen en upgraden, voer oude en verlaten bibliotheken af. Neem aanvullende best policy maatregelen. Beste admin, zorg dat het niet aan jou kan hebben gelegen.luntrus
24-04-2018, 13:50 door Krakatau
Door Anoniem:
Door Krakatau:
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!

Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.

Door meinonA: *) Je reinste nonsens.

Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!

Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.

Ik ga me niet steeds herhalen. Zoek maar op internet.

Door Anoniem:
Door Krakatau:
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!

Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.

Door meinonA: *) Je reinste nonsens.

Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!

Krakatau, serieus. Stop eens met je onprofessionele fanboy-achtige gebash. We weten dat je een hekel hebt aan PHP. Prima, doe lekker je ding in een andere taal. Maar met dit soort zinloze geflame jaag je mensen alleen maar weg van dit forum. Ik heb je gebruikersnaam al een paar keer gehoord als reden waarom mensen security.nl mijden. Doe iedereen een lol en stop ermee.

De waarheid doet natuurlijk pijn. Echter mensen wegjagen is natuurlijk ook niet de bedoeling. Dus ik zal erover ophouden.
24-04-2018, 14:45 door Anoniem
Door Krakatau:
De waarheid doet natuurlijk pijn.
False waarheden inderdaad. of iemand die met oogkleppen blijft kijken. Of iemand zie zijn mening als waarheid beschouwt.

Echter mensen wegjagen is natuurlijk ook niet de bedoeling. Dus ik zal erover ophouden.
Graag. Daar doe je een heel hoop personen een groot plezier mee.
24-04-2018, 16:31 door Krakatau - Bijgewerkt: 24-04-2018, 16:32
Door Anoniem:
Door Krakatau:
De waarheid doet natuurlijk pijn.
False waarheden inderdaad. of iemand die met oogkleppen blijft kijken. Of iemand zie zijn mening als waarheid beschouwt.

(A)

Door Anoniem:
Echter mensen wegjagen is natuurlijk ook niet de bedoeling. Dus ik zal erover ophouden.
Graag. Daar doe je een heel hoop personen een groot plezier mee.

(B)

Kijk, je kan niet (B) verlangen en bij (A) een sneer maken. Dat had je beter niet kunnen doen.

Het is namelijk niet zo dat ik met oogkleppen blijf kijken, of dat ik mijn mening als waarheid beschouw. Nee, het zijn de PHP scriptkiddies die dat doen. Niet omdat ze vanuit een kennis en brede ervaring spreken. Nee, omdat ze niet beter weten. Zielig eigenlijk, ware het niet dat ze steevast zo'n grote bek hebben.
25-04-2018, 10:25 door Krakatau
Door Anoniem:
Door Krakatau:
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!

Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.

Door meinonA: *) Je reinste nonsens.

Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!

Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.

PHP is a 'grown' language rather than deliberately engineered, making writing insecure PHP applications far too easy and common. If you want to use PHP securely, then you should be aware of all its pitfalls.

https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet

As a result, about 79% of all PHP websites run at the moment on a vulnerable PHP interpreter.

https://blog.ripstech.com/2017/security-flaws-in-the-php-core/

PHP is the lone exception. Virtually every feature in PHP is broken somehow. The language, the framework, the ecosystem, are all just bad. And I can’t even point out any single damning thing, because the damage is so systemic.

https://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/
25-04-2018, 13:15 door Anoniem
@ krakatau,

Waar de bots draaien die deze zwakheden uitbuiten: https://www.webiron.com/file_lookup/2837661bd35755340f4677d8748cf297
Zie de diverse php files. Geassocieerde url: hxxp://54.39.23.28/1sh

Zie ook hier: https://feedyeti.com/hashtag.php?q=drupalgeddon2
(Monero minin g komt ook in beeld binnen zulke campagnes).

Eenvoudige script scanner: https:// github.com/0x4148/Drupalg eddon2_scanner

luntrus
25-04-2018, 16:09 door Krakatau
@ luntrus,

Dank. Met dergelijke bots zijn niet gepatchte sites kansloos :-(
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.