Miljoen Drupal-sites kwetsbaar door ernstig beveiligingslek
Meer dan een miljoen Drupal-websites moeten dringend worden geüpdatet, anders lopen ze het risico om te worden gehackt. Dat laten de ontwikkelaars van het contentmanagementsysteem (cms) weten. Gisterenavond verscheen er een belangrijke beveiligingsupdate voor een zeer ernstige kwetsbaarheid waardoor een aanvaller een website zeer eenvoudig kan overnemen.
De kwetsbaarheid is aanwezig in Drupal 6, 7 en 8. Meer dan een miljoen websites draaien deze versie van het cms. Volgens het Drupal-team is de kwetsbaarheid eenvoudig uit te te buiten. Een gebruiker hoeft alleen de website te bezoeken. Verder zijn er geen speciale rechten vereist. Via de kwetsbaarheid krijgt een aanvaller volledige controle over de website en kan alle data van de website, zowel publiek als non-publiek, aanpassen of verwijderen.
Er is nog geen openbare exploit bekend die van de kwetsbaarheid misbruik maakt, maar webmasters krijgen het advies om de update direct te installeren. Vanwege de ernst van de situatie besloot het Drupal-team om ook updates voor Drupal 8.3.x en 8.4.x uit te brengen, ook al worden deze versies niet meer ondersteund. Daarnaast is ook Drupal 6 kwetsbaar. Deze versie is echter End of Life. Eigenaren van Drupal-sites die nog met deze versie werken kunnen via speciale leveranciers een update verkrijgen.
Nee hoor, zit gewoon in de D6 LTS repo: https://cgit.drupalcode.org/d6lts
Nou zeg... Dit heeft natuurlijk niets maar dan ook helemaal niets met open source software te maken. Als je het ergens wilt zoeken, kijk dan eens naar PHP.
https://www.security.nl/posting/555220/Zeer+ernstig+beveiligingslek+in+Drupal+op+28+maart+gepatcht
Je hebt helemaal gelijk. Het is natuurlijk veel beter als er bergen met lekken zijn die nooit gevonden worden door de community omdat het closed source is. Dat deze lekken alsnog gevonden worden door kwaadwillenden... Tsja.
Er is geen perfectie oplossing. Dat het opvalt dat er veel lekken gevonden worden in open source is juist goed. Dat betekent dat ze gevonden worden. Bij de meeste closed source applicaties heb je geen idee of er lekken gevonden worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.