image

Drupal bestrijdt dat 115.000 Drupal-sites ernstig lek bevatten

vrijdag 8 juni 2018, 11:08 door Redactie, 2 reacties

Deze week liet een beveiligingsonderzoeker weten dat 115.000 Drupal-sites een ernstig beveiligingslek bevatten waardoor aanvallers de websites op afstand kunnen overnemen, maar het Drupal-ontwikkelteam bestrijdt dit. Voor zijn onderzoek keek Troy Mursch van Bad Packets Report naar het bestand changelog.txt dat op elke Drupal-website te vinden is. Daarin staat vermeld op welke Drupal-versie de website draait.

Volgens het Drupal-ontwikkelteam is dit geen goede manier om te bepalen of een website kwetsbaar is. Het is namelijk mogelijk dat de beheerder alleen een beveiligingsupdate heeft geïnstalleerd, waardoor het changelog-bestand niet is aangepast. "We vinden dat de genoemde getallen onnauwkeurig zijn en het is misleidend om aan de hand van deze spaarzame informatie conclusies te trekken", aldus het ontwikkelteam.

In een reactie stelt Mursch dat het inderdaad mogelijk is dat de websites in kwestie de beveiligingsupdate hebben geïnstalleerd. De enige manier om dit te valideren is het uitvoeren van de exploit, wat strafbaar is. Dat neemt niet weg dat het een feit is dat er 115.000 Drupal-sites op een verouderde versie draaien. Iets wat volgens de onderzoeker nooit verstandig is.

Reacties (2)
08-06-2018, 11:24 door Anoniem
Het lijkt mij nou ook niet zo een goed ding om je versienummers enzo gewoon op straat te gooien, kan die changelog.txt ook verwijderd worden door beheerders? Of raak je dan van de regen in de drup(al)?
08-06-2018, 14:47 door Anoniem
Drupal is nog het minst slechte CMS gebaseerd op PHP, zoals daar tevens zijn Word Press en Magento.
Drupal zou nog beter kunnen zijn, voorzien van een automatische updater, die in onderhavig geval node gemist wordt.

Met op PHP en javascript gebaseerde websites wreekt zich onvoldoende security bewustzijn bij zowel professional als amateur website bouwer en website onderhouder. Het wreekt zich ook op de veiligheid van de eindgebruiker.

Niet iedereen zit Adguard 6.3 te beta testen, zoals ondergetekende. Ook niet iedereen is al veertien jaar op een groot forum bezig met 3rd party cold reconnaissance website security analise en website foutenjagen. Geloof veiligheid dus pas, als je het zelf hebt vastgesteld, luitjes, en anders niet. TRUST does not come cheap these days.

Men moet steeds op zijn of haar hoede zijn voor valkuilen en coderen met 20+ cheat sheets ernaast,
om langs mogelijke problemen heen te laveren. Ik ben niet de enige hier, die op security dot nl post
en die daarvoor waarschuwt. Er zijn er ook nog zat, die dit ontkennen, zoals in ons geval, de CMS developer(s).

Lees de issues maar na op Stack Overflow, voor javascript files op de website hetzelfde.

Dan hebben we nog niet gesproken over 3rd party links, over cloaking (waar Googlebot en google iets anders voorgeschoteld krijgen, over spammy links, over kwalijke iFrames, enz. enz.).

Excessieve info proliferatie, iets waarover anoniem van 11:24 het terecht heeft, kwetsbaarheid ten gevolge van af te voeren jQuery bibliotheken, sinks en sources bij zwakke DOM-XXS. De kernel code van de software wordt nog wel goed gescreened en regelmatig van de nodige updates en pleisters voorzien, maar hoe zit het met plug-ins.

Configuratie zwakheden (security headers etc. niet geimplementeerd) en certificaat zwakheden doen de rest.

Ondanks dat alles, een hele fijn weekend voor jullie allen van,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.