Kritisk fejl i Drupal bringer millioner af websites i fare for hacking

Illustration: Drupal
Hjemmesider i farezonen skal patches så hurtigt som muligt, advarer folkene bag cms-systemet Drupal.

Verdens tredjemest populære cms-system Drupal er ramt af en såkaldt code-execution bug, en kritisk sårbarhed der kan udnyttes af hackere til at få kontrol over webserveren.

Det skriver ZDNet.

Sårbarheden skyldes, at nogle filer ikke renser data fra non-form kilder såsom RESTful Web Services.. Det kan i visse tilfælde lede til, at angribere kan køre deres egen PHP kode på sitet.

Drupal skriver, at for at hjemmesider kan være i farezonen skal de leve op til én ud af to kriterier. Enten skal hjemmesiden have Drupal 8 core RESTful Web Services-modulet aktiveret og tillade PATCH eller POST-requests, eller også skal hjemmesiden have et andet Web Services-modul aktiveret. Det kunne være JSON:API i Drupal 8 eller RESTful Web Services i Drupal 7.

Drupal står for mellem omkring 3 pct. af verdens mere end én milliard hjemmesider. Det betyder, at rigtig mange hjemmesider kan være udsat for potentielle angreb.

Drupal opfordrer webadministratorer til at opdatere til de nyeste kerneversioner af Drupal med det samme og derefter installere tilgængelige sikkerhedsopdateringer. Webadmins kan også mindske sårbarheden med det samme ved at deaktivere alle Web Services-moduler eller konfigurere webserveren til ikke at tillade PUT/PATCH/POST-requests til Web Services.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Beltofte

Når vi er igang så har Wordpress også et lækker 6 år gammel remote code execution fejl.

Se https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/.

Det mest interessante er tidsplanen i bunden af blogindlægget hvor det har taget Wordpress communitiet 4 måneder at få fikset et af problemerne, og at de har haft en major og flere minor releases i perioden uden at få det fikset.

Log ind eller Opret konto for at kommentere