600.000 Drupal 7-sites nog steeds kwetsbaar door ernstig lek
Een meerderheid van de websites die het contentmanagementsysteem (CMS) Drupal 7 gebruikt mist een belangrijke update voor een ernstig lek en loopt daardoor het risico door cybercriminelen te worden overgenomen, hoewel ze van de Drupal-ontwikkelaars er vanuit moeten gaan dat dit al het geval is.
Op 15 oktober patchte Drupal namelijk een ernstig lek in het cms. Via het lek kan een aanvaller op afstand de website overnemen. Zeven uur na het uitkomen van de patch werden de eerste aanvallen al waargenomen. In een update stelde het Drupal-ontwikkelteam dat alle Drupal 7-sites die zeven uur na het uitkomen van de patch niet waren gepatcht, ervan moeten uitgaan dat ze zijn gecompromitteerd.
Statistieken
Het Drupal-ontwikkelteam publiceert elke week verschillende statistieken met betrekking tot het aantal gebruikers. Op 2 november waren er meer dan 965.000 websites die Drupal 7 als cms gebruikten, waarmee dit veruit de populairste versie is. In totaal zijn er namelijk 1,1 miljoen websites die op Drupal draaien. Van de 965.000 Drupal 7-sites beschikken er 318.000 over versie 7.32, waarin het ernstige lek is opgelost.
Daarnaast zijn er nog zo'n 40.000 websites die een versie met een hoger versienummer gebruiken. Ongeveer 600.000 sites draaien echter een versie onder 7.32 en zijn daardoor in theorie kwetsbaar. Hierbij moet wel worden opgemerkt dat het mogelijk is om het lek te patchen zonder naar versie 7.32 of nieuwer te upgraden, maar het geeft wel aan dat veel websites nog steeds kwetsbaar zijn.
Ik hoop dat die 600.000 sites de 1-regel-aanpassing doorgevoerd hebben, maar ik ben bang van niet.
Ik hoop dat die 600.000 sites de 1-regel-aanpassing doorgevoerd hebben, maar ik ben bang van niet.
Kom nou toch... Een fix die binnen 7 uur uitgevoerd moet worden (want anders is je site gecompromitteerd) daar kan je als CMS-leverancier toch niet mee aankomen! (Daarmee zet je jezelf in een kwaad daglicht.)
Zelf was ik niet thuis zodat ik pas na 7 uur en 5 minuten de fix kon uitvoeren. Dat was 5 minuten te laat, dus mijn site is waarschijnlijk gecompromitteerd. Een backup terughalen of vanaf start de site opnieuw opbouwen met Drupal? Laat maar, vaarwel Drupal, vaarwel PHP...
En wat voor cms systeem ga je nu gebruiken?
En wat voor cms systeem ga je nu gebruiken?
Waarom een out-of-the-box CMS gebruiken?
Als er dan wat lek is weet je zeker dat iedereen het weet.
Huh? "Het versie nummer zegt niks over kwetsbaar zijn, maar geeft wel aan dat veel websites kwetsbaar zijn"?
Ik denk dat ik platte passieve HTML ga gebruiken.
Als ik een CMS zou gaan gebruiken dan zou het denk ik Magnolia CMS zijn.
http://www.magnolia-cms.com/product/features/security.html
Ja, want daar zal nooit of te nimmer een security issue in voorkomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.