Ernstige Drupal-lekken laten aanvaller websites overnemen
In het populaire contentplatform Drupal zijn twee ernstige kwetsbaarheden gepatcht waardoor aanvallers in het ergste geval websites hadden kunnen overnemen. Via de beveiligingslekken kan een aanvaller op afstand code uitvoeren en het onderliggende systeem overnemen, zo waarschuwt het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).
De kwetsbaarheden zijn aanwezig in Drupal core. Het contentplatform maakt gebruik van de third-party PEAR Archive_Tar library. Deze library bevat een kwetsbaarheid waardoor het op afstand uitvoeren van code mogelijk is. Het tweede beveiligingslek wordt veroorzaakt doordat sommige Drupalcode de invoer van gebruikers onvoldoende valideert, waardoor het uitvoeren van willekeurige PHP-code mogelijk is.
Beheerders van een Drupalsite krijgen het advies om te updaten naar Drupal 7.62, 8.5.9 of 8.6.6. Versies van Drupal 8 voor versienummer 8.5.x zijn end-of-life en ontvangen geen beveiligingsupdates meer. Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet.
Volgens de bron waarnaar jullie verwijzen is dat nu 3,5%
Volgens de bron waarnaar jullie verwijzen is dat nu 3,5%
Als je kijkt staat 3,5% voor websites met een CMS. Voor alle websites (met en zonder CMS), is het 1,9 procent.
PHP ontwikkelaars houdt uw cheat-sheets gereed.
Lees: https://phpsecurity.readthedocs.io/en/latest/Input-Validation.html
Soms zijn filter verwachtingen verkeerd geformuleerd:
https://stackoverflow.com/questions/15943926/php-possible-weaknesses-for-filter-validate-url-fopenurl-r-url-validati
en meer mogelijke narigheid:
https://www.tenable.com/plugins/nessus/17715
PHP ontwikkelaars houdt uw cheat-sheets gereed.
Beter nog: gebruik geen PHP maar stap over op een echte programmeertaal!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
