Endnu en Drupal-fejl: Patch anbefales omgående

26. april 2018 kl. 09:114
Endnu en Drupal-fejl: Patch anbefales omgående
Illustration: Drupal.
Drupal har netop frigivet endnu en patch til at lukke for "remote code execution (RCE)" sikkerhedshul i kernen af Drupal 7 og 8
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Drupal har netop frigivet endnu en patch for at lukke for endnu et "remote code execution (RCE)" sikkerhedshul i kernen af Drupal 6, 7 og 8. Ifølge Drupal giver sikkerhedshullet mulighed for fuldstændigt at overtage et angrebet site.

Det skriver The Hacker News

Drupal anbefaler følgende opdateringer, afhængigt af hvilken version af Drupal man benytter.

  • At Drupal 7.x opgraderes til Drupal 7.59.
  • At Drupal 8.5.x opgraderes til Drupal 8.5.3.
  • At Drupal 8.4.x, som ikke længere understøttes, opgraderes til 8.4.8 og at man derefter installerer opdatering 8.5.3 så hurtigt som muligt.

Det nye sikkerhedshul var opdaget i forbindelse med at undersøge den tidligere RCE sikkerhedsbrist, navngivet Drupalgeddon2 (CVE-2018-7600), som Drupal patchede den 28. marts

Artiklen fortsætter efter annoncen

For to dage siden offentliggjorde sikkerhedsforskere ved Check Point og Dofinity de tekniske detaljer om sikkerhedsbristen (CVE-2018-7600), en Russisk sikkerhedsforsker publicerede ved samme lejlighed et proof-of-concept på GitHub.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
Lars Hansen
30. april 2018 kl. 10:40

Vores opgradering var to klik i Jenkins, så havde vi en ny Docker installation.

  • more_vert
    • insert_linkKopier link
3
Kim Henriksen
26. april 2018 kl. 15:54

Jeg har virkelig aldrig kunne lide at arbejde med Drupal og kan ikke forstå det ofte bliver valgt til store projekter.

Jeg "føler" ikke rigtig for den gamle funktions kode stil, samt hele økosystemet af moduler og plugins m.m. er bare ofte af tvivlsom kvalitet og uigennemskuelige dependencies. (Det samme gælder Wordpress)

Jeg er dog svært glad for https://pyrocms.com og https://codeigniter.com

  • more_vert
    • insert_linkKopier link
2
martin nielsen
26. april 2018 kl. 12:25

Hackerne har også den fordel at når de først har skrevet exploit kode, så kan de kaste det afsted mod millionvis af servere uden nogen større indsats, men at patche millionvis af servere ... det tager tid.

  • more_vert
    • insert_linkKopier link