Deze week liet een beveiligingsonderzoeker weten dat 115.000 Drupal-sites een ernstig beveiligingslek bevatten waardoor aanvallers de websites op afstand kunnen overnemen, maar het Drupal-ontwikkelteam bestrijdt dit. Voor zijn onderzoek keek Troy Mursch van Bad Packets Report naar het bestand changelog.txt dat op elke Drupal-website te vinden is. Daarin staat vermeld op welke Drupal-versie de website draait.
Volgens het Drupal-ontwikkelteam is dit geen goede manier om te bepalen of een website kwetsbaar is. Het is namelijk mogelijk dat de beheerder alleen een beveiligingsupdate heeft geïnstalleerd, waardoor het changelog-bestand niet is aangepast. "We vinden dat de genoemde getallen onnauwkeurig zijn en het is misleidend om aan de hand van deze spaarzame informatie conclusies te trekken", aldus het ontwikkelteam.
In een reactie stelt Mursch dat het inderdaad mogelijk is dat de websites in kwestie de beveiligingsupdate hebben geïnstalleerd. De enige manier om dit te valideren is het uitvoeren van de exploit, wat strafbaar is. Dat neemt niet weg dat het een feit is dat er 115.000 Drupal-sites op een verouderde versie draaien. Iets wat volgens de onderzoeker nooit verstandig is.
Deze posting is gelocked. Reageren is niet meer mogelijk.