De makers van het populaire contentmanagementsysteem (cms) Drupal gaan het updatesproces van de cms-software beveiligen, aangezien die verschillende kwetsbaarheden bevat waardoor websites kunnen worden aangevallen. Dat hebben de ontwikkelaars afgelopen vrijdag aangekondigd.

Onlangs meldde beveiligingsbedrijf IOActive verschillende problemen met de software. Drupal-beveiligingsupdates worden onversleuteld verstuurd en zodra de update is gedownload wordt de authenticiteit niet gecontroleerd. Een aanvaller die een man-in-the-middle-aanval op het Drupal-updateproces kan uitvoeren, kan daardoor code uitvoeren en toegang tot de database van de website krijgen. Om de problemen aan te pakken gaat Drupal ssl voor de 'update statusmodule' gebruiken. Daarnaast maken alle downloads via drush inmiddels gebruik van ssl. Drush is een populaire tool voor Drupal-beheerders.

Ook zijn alle downloadlinks op ftp.drupal.org en updates.drupal.org van https voorzien. In afwachting van het beveiligen van alle downloadkanalen en de update die hiervoor zal verschijnen krijgen beheerders het advies om handmatig de software via de betreffende projectpagina te downloaden of een ondersteunde versie van drush 7 of nieuwer te gebruiken om zo downloads of update-informatie te bemachtigen.