image

Ernstige Drupal-lekken laten aanvaller websites overnemen

donderdag 17 januari 2019, 10:26 door Redactie, 4 reacties
Laatst bijgewerkt: 17-01-2019, 13:19

In het populaire contentplatform Drupal zijn twee ernstige kwetsbaarheden gepatcht waardoor aanvallers in het ergste geval websites hadden kunnen overnemen. Via de beveiligingslekken kan een aanvaller op afstand code uitvoeren en het onderliggende systeem overnemen, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).

De kwetsbaarheden zijn aanwezig in Drupal core. Het contentplatform maakt gebruik van de third-party PEAR Archive_Tar library. Deze library bevat een kwetsbaarheid waardoor het op afstand uitvoeren van code mogelijk is. Het tweede beveiligingslek wordt veroorzaakt doordat sommige Drupalcode de invoer van gebruikers onvoldoende valideert, waardoor het uitvoeren van willekeurige PHP-code mogelijk is.

Beheerders van een Drupalsite krijgen het advies om te updaten naar Drupal 7.62, 8.5.9 of 8.6.6. Versies van Drupal 8 voor versienummer 8.5.x zijn end-of-life en ontvangen geen beveiligingsupdates meer. Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet.

Reacties (4)
17-01-2019, 12:50 door Anoniem
'Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet.'

Volgens de bron waarnaar jullie verwijzen is dat nu 3,5%
18-01-2019, 08:24 door Anoniem
Door Anoniem: 'Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet.'

Volgens de bron waarnaar jullie verwijzen is dat nu 3,5%

Als je kijkt staat 3,5% voor websites met een CMS. Voor alle websites (met en zonder CMS), is het 1,9 procent.
18-01-2019, 19:09 door Anoniem
En weer valt de term niet voldoende gevalideerd PHP.
PHP ontwikkelaars houdt uw cheat-sheets gereed.
Lees: https://phpsecurity.readthedocs.io/en/latest/Input-Validation.html
Soms zijn filter verwachtingen verkeerd geformuleerd:
https://stackoverflow.com/questions/15943926/php-possible-weaknesses-for-filter-validate-url-fopenurl-r-url-validati
en meer mogelijke narigheid:
https://www.tenable.com/plugins/nessus/17715
19-01-2019, 15:05 door Krakatau
Door Anoniem: En weer valt de term niet voldoende gevalideerd PHP.
PHP ontwikkelaars houdt uw cheat-sheets gereed.

Beter nog: gebruik geen PHP maar stap over op een echte programmeertaal!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.