Drupal komt met aanvullende noodpatch voor ernstig lek
De ontwikkelaars van het Drupal-platform komen op 25 april met een aanvullende noodpatch voor een zeer ernstig beveiligingslek dat op 28 maart werd gepatcht. Beheerders van een Drupal-website krijgen het advies om de update snel te installeren, aangezien er een risico is dat ongepatchte websites uren of dagen na het uitkomen van de noodpatch zullen worden aangevallen.
Op 28 maart verscheen er een noodpatch voor een zeer ernstige kwetsbaarheid waardoor aanvallers Drupal-websites volledig kunnen overnemen. Alle Drupal-websites die deze noodpatch sinds 11 april niet hebben geïnstalleerd moeten volgens experts als gehackt worden beschouwd. Vorige week waarschuwde een securitybedrijf nog dat gehackte Drupal-sites door een botnet worden gebruikt voor het delven van cryptovaluta en het uitvoeren van ddos-aanvallen.
De noodpatch van 28 maart loste het probleem waarschijnlijk niet volledig op, aangezien er nu een aanvullende noodpatch is aangekondigd. Deze noodpatch verschijnt woensdag 25 april tussen 18:00 en 20:00 uur Nederlandse tijd voor Drupal 7.x, 8.4.x en 8.5.x. Meer dan een miljoen websites draaien deze versies van het Drupal-platform. De noodpatch vereist geen database-update.
Reacties (14)
24-04-2018, 10:22 door
meinonA
Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!
*) Je reinste nonsens.
*) Je reinste nonsens.
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Door meinonA: *) Je reinste nonsens.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Door Krakatau:
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Gelukkig draaien er geen grote sites op het Internet me PHP.....Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Als deze applicaties hebben meestal gewoon domme programmeer fouten. In een andere taal zou je exact het zelfde hebben.
Door meinonA: *) Je reinste nonsens.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
... dubbel ...
Door Krakatau: Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Zit je niet in de vriendenkring van een bepaalde politieke partij met bof binding die juist heel blij was met: https://www.ezcompany.nl/blog/nieuwe-website-gemeente-delft Die promotie kun je ook op hun gemeentelijk programma van die partij terugvinden. Je hebt het over: https://en.wikipedia.org/wiki/Rasmus_Lerdorf
"In 2003, Lerdorf was named in the MIT Technology Review TR100 as one of the top 100 innovators in the world under the age of 35." Dus het MIT bestaat volgens jou uit amateurs. Prachtig zo'n bewering zonder enige onderbouwing.
Owasp heeft wel wat over php https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet Weakly typed is gangbaar om iets snel werkend te krijgen met zeer strict komt er niets af.
Door Krakatau:
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Door meinonA: *) Je reinste nonsens.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
Door Krakatau:
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Krakatau, serieus. Stop eens met je onprofessionele fanboy-achtige gebash. We weten dat je een hekel hebt aan PHP. Prima, doe lekker je ding in een andere taal. Maar met dit soort zinloze geflame jaag je mensen alleen maar weg van dit forum. Ik heb je gebruikersnaam al een paar keer gehoord als reden waarom mensen security.nl mijden. Doe iedereen een lol en stop ermee.Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Door meinonA: *) Je reinste nonsens.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Niets nieuws onder de zon en voor de patch uitkomt zijn er al kwetsbaarheidspercentages van meer dan 80% qua websites met dit framework, zo is het ook bij andere CMS als WordPress, Joomla, Magento (resp. 56%, 85% en 97% kwetsbaar).
De 'duvel' kent maar een beperkt aantal truuks en herhaalt die in oneindige variatie. De Drupalgedon2 kwetsbaarheid is een variant op een eerdere uit 2004 : https://github.com/nixawk/labs/issues/19[/ur]Safeguard your CMS - altijd patchen en upgraden, voer oude en verlaten bibliotheken af. Neem aanvullende best policy maatregelen. Beste admin, zorg dat het niet aan jou kan hebben gelegen.luntrus
De 'duvel' kent maar een beperkt aantal truuks en herhaalt die in oneindige variatie. De Drupalgedon2 kwetsbaarheid is een variant op een eerdere uit 2004 : https://github.com/nixawk/labs/issues/19[/ur]Safeguard your CMS - altijd patchen en upgraden, voer oude en verlaten bibliotheken af. Neem aanvullende best policy maatregelen. Beste admin, zorg dat het niet aan jou kan hebben gelegen.luntrus
24-04-2018, 13:50 door
Krakatau
Door Anoniem:
Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
Door Krakatau:
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Door meinonA: *) Je reinste nonsens.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
Ik ga me niet steeds herhalen. Zoek maar op internet.
Door Anoniem:
Krakatau, serieus. Stop eens met je onprofessionele fanboy-achtige gebash. We weten dat je een hekel hebt aan PHP. Prima, doe lekker je ding in een andere taal. Maar met dit soort zinloze geflame jaag je mensen alleen maar weg van dit forum. Ik heb je gebruikersnaam al een paar keer gehoord als reden waarom mensen security.nl mijden. Doe iedereen een lol en stop ermee.
Door Krakatau:
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Door meinonA: *) Je reinste nonsens.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Krakatau, serieus. Stop eens met je onprofessionele fanboy-achtige gebash. We weten dat je een hekel hebt aan PHP. Prima, doe lekker je ding in een andere taal. Maar met dit soort zinloze geflame jaag je mensen alleen maar weg van dit forum. Ik heb je gebruikersnaam al een paar keer gehoord als reden waarom mensen security.nl mijden. Doe iedereen een lol en stop ermee.
De waarheid doet natuurlijk pijn. Echter mensen wegjagen is natuurlijk ook niet de bedoeling. Dus ik zal erover ophouden.
Door Krakatau:
De waarheid doet natuurlijk pijn.
False waarheden inderdaad. of iemand die met oogkleppen blijft kijken. Of iemand zie zijn mening als waarheid beschouwt.De waarheid doet natuurlijk pijn.
Echter mensen wegjagen is natuurlijk ook niet de bedoeling. Dus ik zal erover ophouden.
Graag. Daar doe je een heel hoop personen een groot plezier mee.Door Anoniem:
Door Krakatau:
De waarheid doet natuurlijk pijn.
False waarheden inderdaad. of iemand die met oogkleppen blijft kijken. Of iemand zie zijn mening als waarheid beschouwt.De waarheid doet natuurlijk pijn.
(A)
Door Anoniem:
Echter mensen wegjagen is natuurlijk ook niet de bedoeling. Dus ik zal erover ophouden.
Graag. Daar doe je een heel hoop personen een groot plezier mee.(B)
Kijk, je kan niet (B) verlangen en bij (A) een sneer maken. Dat had je beter niet kunnen doen.
Het is namelijk niet zo dat ik met oogkleppen blijf kijken, of dat ik mijn mening als waarheid beschouw. Nee, het zijn de PHP scriptkiddies die dat doen. Niet omdat ze vanuit een kennis en brede ervaring spreken. Nee, omdat ze niet beter weten. Zielig eigenlijk, ware het niet dat ze steevast zo'n grote bek hebben.
25-04-2018, 10:25 door
Krakatau
Door Anoniem:
Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
Door Krakatau:
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Door meinonA: Mensen die PHP de schuld geven* in 3 ... 2 ... 1 ... GO!
Bouwen met PHP is als bouwen op drijfzand! Hoe goed je ontwerp ook is - ja, Drupal is echt een van de besten - het blijft rommelen, want de basis waarop je bouwt is van een onbeschrijfelijk slechte en amateuristische kwaliteit.
Door meinonA: *) Je reinste nonsens.
Ik snap echt niet dat een professionele automatiseerder zo in ontkenning kan leven!
Ik hoop dat dit sarcasme is, en anders zou ik graag feiten horen in plaats van jouw niet onderbouwde claims.
PHP is a 'grown' language rather than deliberately engineered, making writing insecure PHP applications far too easy and common. If you want to use PHP securely, then you should be aware of all its pitfalls.
https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet
As a result, about 79% of all PHP websites run at the moment on a vulnerable PHP interpreter.
https://blog.ripstech.com/2017/security-flaws-in-the-php-core/
PHP is the lone exception. Virtually every feature in PHP is broken somehow. The language, the framework, the ecosystem, are all just bad. And I can’t even point out any single damning thing, because the damage is so systemic.
https://eev.ee/blog/2012/04/09/php-a-fractal-of-bad-design/
@ krakatau,
Waar de bots draaien die deze zwakheden uitbuiten: https://www.webiron.com/file_lookup/2837661bd35755340f4677d8748cf297
Zie de diverse php files. Geassocieerde url: hxxp://54.39.23.28/1sh
Zie ook hier: https://feedyeti.com/hashtag.php?q=drupalgeddon2
(Monero minin g komt ook in beeld binnen zulke campagnes).
Eenvoudige script scanner: https:// github.com/0x4148/Drupalg eddon2_scanner
luntrus
Waar de bots draaien die deze zwakheden uitbuiten: https://www.webiron.com/file_lookup/2837661bd35755340f4677d8748cf297
Zie de diverse php files. Geassocieerde url: hxxp://54.39.23.28/1sh
Zie ook hier: https://feedyeti.com/hashtag.php?q=drupalgeddon2
(Monero minin g komt ook in beeld binnen zulke campagnes).
Eenvoudige script scanner: https:// github.com/0x4148/Drupalg eddon2_scanner
luntrus
25-04-2018, 16:09 door
Krakatau
@ luntrus,
Dank. Met dergelijke bots zijn niet gepatchte sites kansloos :-(
Dank. Met dergelijke bots zijn niet gepatchte sites kansloos :-(
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
