Gigahul: Tilfældige blev administratorer på dansk journalist-site
Onsdag kunne tilfældige læsere af journalisten.dk, der drives af Dansk Journalistforbund, uhindret skrive artikler, ændre sidens opsætning samt give og spærre andre brugeres adgang til siden ? alt hvad der normalt er forbeholdt administratoren. Det opdagede it-mediet Computerworld ved et tilfælde.
Og der var mildest talt ikke tale om et journalistisk eksperiment med at inddrage læserne. En ekspert fra sikkerhedsfirmaet Fortconsult understreger, at der er tale om et alvorligt sikkerhedsbrist, som han aldrig har set mage til.
Efter timers analyse vurderer seniorkonsulent Peter Österberg overfor Computerworld, at fejlen er relateret til en cookie, der giver administratorrettigheder. Han mener, at samme problem sandsynligvis vil være gældende for andre sites, der bruger samme opsætning.
Journalisten.dk, der drives af Dansk Journalistforbund, kører på en Apache-server med open source cms-systemet Drupal, der bruges adskillige danske såvel som internationale onlinemedier.
Virksomheden Vertikal, der har opbygget journalisten.dk's cms-løsning, mener dog ikke, at skylden for sikkerhedsmiseren kan skydes på Drupal. Medejer Martin Jørgensen vurderer overfor it-mediet Comon, at der er tale om en fejl i den bagvedliggende MySQL-database, som har spyttet forkerte værdier ud.
Sidste år var Nyhedsavisens site avisen.dk plaget af et lignende hul i sikkerheden.
Kommentarer (4)
Der er såmænd uanede mængder af sikkerhedshuller som er præcis lige så alvorlige, de fleste er bare knapt så synlige. Det her hul er da i det mindste sikker på at opdage hurtigt.
Mht. skyld, vil Martin Jørgensen så påstå at det er databasens egen skyld at den har spyttet "forkerte" værdier ud? Det er før set at der er kommet noget forkert ud af en database fordi den har fået forkerte input.
-
0 -
0
Hvis det er en fejl i Drupal - formoder jeg at man har lavet en bugreport til drupal? hvor detaljerne er at finde, så andre drupal brugere, kan undgå at samme fejl rammer dem?
Hvis det på imponerende vis, "bare" er lykkedes journalisten.dk at konfigurere drupal således, ville det være meget rart at høre hvordan det er lykkedes, da jeg aldrig har set sådan en konfigurationsmulighed i Drupal :)
-
0
-
0
I følge Comon skulle problemet være skyldes en disk fejl hos hosten Gigahost, hvordan det så skulle få databasen til at give forkerte oplysninger er jeg ikke helt klar over, men om ikke andet lader det så ikke til at være Drupal der er årsagen til problemerne.
-
0
-
0
I følge Comon skulle problemet være skyldes en disk fejl hos hosten Gigahost, hvordan det så skulle få databasen til at give forkerte oplysninger er jeg ikke helt klar over, men om ikke andet lader det så ikke til at være Drupal der er årsagen til problemerne.
Det lyder også lidt mærkeligt for mig.
Men hvis det er sandt, kan det sagtens være Drupal der har en del af ansvaret: Hvordan man håndterer fejl er en vigtig, men ofte overset, del af et program.
-
0
-
0
