image

Zeer ernstig lek in Drupal laat aanvaller PHP-code uitvoeren

donderdag 21 februari 2019, 13:50 door Redactie, 4 reacties

De ontwikkelaars van het contentplatform Drupal hebben beveiligingsupdates uitgebracht voor een zeer ernstige kwetsbaarheid waardoor een aanvaller op afstand PHP-code kan uitvoeren en de website kan overnemen. Het beveiligingslek is door het Drupal-team als zeer ernstige bestempeld.

Drupal-websites lopen alleen risico als de Drupal 8 core RESTful Web Services (rest) module staat ingeschakeld en PATCH- of POST-verzoeken worden toegestaan, of wanneer de website een andere web services module in Drupal 8 heeft ingeschakeld, of van Service of RESTful Web Services in Drupal 7 gebruikmaakt.

Beheerders van Drupal-websites krijgen het advies om te upgraden naar Drupal 8.6.10 of Drupal 8.5.11. In het geval van Drupal 7 vereist de Services module geen update op dit moment. Voor verschillende zogeheten "Drupal 7 contributed modules" zijn wel updates uitgekomen.

Om de kwetsbaarheid meteen te verhelpen kunnen beheerders alle web services modules uitschakelen of de webserver zo configureren dat PUT/PATCH/POST-verzoeken naar web services niet worden toegestaan. Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet.

Reacties (4)
21-02-2019, 21:58 door Krakatau
If 16 kinds of programming languages ??become weapons

PHP for building dynamic web pages is "hose". Whether or not a hose can be called a weapon is not certain, but its usage method is "to attach one side of a hose to a muffler of an automobile, pull one side into the car, then put the engine on."

https://gigazine.net/gsc_news/en/20140902-if-programming-languages-were-weapons/
21-02-2019, 22:01 door Krakatau - Bijgewerkt: 21-02-2019, 22:03
If programming languages were weapons

PHP for building dynamic web pages is "hose". Whether or not a hose can be called a weapon is not certain, but its usage method is "to attach one side of a hose to a muffler of an automobile, pull one side into the car, then put the engine on."

https://imgur.com/gallery/tMM6uTz/
22-02-2019, 18:38 door Anoniem
Door Krakatau: If 16 kinds of programming languages ??become weapons

PHP for building dynamic web pages is "hose". Whether or not a hose can be called a weapon is not certain, but its usage method is "to attach one side of a hose to a muffler of an automobile, pull one side into the car, then put the engine on."

https://gigazine.net/gsc_news/en/20140902-if-programming-languages-were-weapons/

Interessant. Illustratief zeer interessant.

Het internet heeft zijn onschuld verloren en is gevaarlijk terrein, eens?
23-02-2019, 10:13 door Anoniem
Men moet wel beveiligingseisen gaan stellen en niet elke lutser en cybercrimineel de gang laten gaan. Op de openbare weg zou men dit niet toleren. Ik zie het als een "ordo ab chao" systeem, die rijken nog rijker moet maken en de massa managen. Vraag is hoe dit om te gooien.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.