Drupal dicht ernstig lek en adviseert om direct te updaten
De ontwikkelaars van het populaire contentmanagementsysteem (cms) Drupal waarschuwen voor een ernstig beveiligingslek waardoor aanvallers websites kunnen overnemen en adviseren de update die het probleem verhelpt direct te installeren. In totaal gaat het om drie kwetsbaarheden die zijn verholpen.
Via het ernstige lek kon een aanvaller willekeurige code uitvoeren en zo volledige controle over de website krijgen. De overige twee kwetsbaarheden zijn minder ernstig en maken het mogelijk voor gebruikers die bestanden kunnen uploaden om die vervolgens aan te passen. Daarnaast konden bestanden die door anonieme gebruikers werden geupload door andere anonieme gebruikers worden bekeken. Drupal-beheerders krijgen het advies om direct te updaten naar Drupal 7.56 of 8.3.4.
De essentie van een anonieme transactie is dat je daarna niet meer weet wie die transactie heeft gedaan. De consequentie is dat een anonieme gebruiker zijn transactie niet kan terugdraaien - of dat iedereen dat kan.
Het alternatief is een pseudonieme transactie: een gebruiker krijgt bij zijn eerste bezoek (of wanneer hij doet alsof het zijn eerste bezoek is) een token, bij voorbeeld 0123456789ABCDEF. Dit kan in de vorm van een cookie, of in de vorm van een onderdeel van de URL structuur: https:/www.example.com/user/0123456789ABCDEF/action.cgi of https:/www.example.com/action.cgi?token=0123456789ABCDEF. Iedere volgende bezoeker die dit token meegeeft wordt dan verondersteld dezelfde bezoeker te zijn als degene aan wie het token is uitgegeven.
Beetje overdreven.
De exploit vereist wel wat setup en werkt alleen op drupal 8 (nog steeds minderheid van de drupal sites).
Ja update asap. maar het is niet het nieuwe druppalgeddon.
Drupal 8 moet je geleik doen, Drupal 7 moet je inplanned en doen.
en dan kom je met een link naar ene lek welke in 2014 patcht is?
als je die vandaag nog niet geïnstalleerd had heb je sowieso een probleem :p
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.