Kritiek veiligheidslek in Drupal 6, 7 en 8

Woensdag 28 maart heeft Drupal beveiligingsupdates uitgebracht voor Drupal 7 en 8. Voor Drupal 6 zijn patches beschikbaar. Aanleiding van deze updates en patches is een belangrijk veiligheidslek. Het lek is aanwezig bij standaard configuraties en vaak gebruikte instellingen en maakt het mogelijk om op afstand code uit te voeren.

Misbruik van het lek

Het lek zou eenvoudig te misbruiken zijn en geeft toegang tot alle gegevens op een server. Er zijn nog geen exploits beschikbaar, maar Drupal waarschuwt ervoor dat de aard van de kwetsbaarheid zodanig interessant is voor kwaadwillenden dat het heel aannemelijk is dat er op korte termijn wel misbruik van het lek gemaakt wordt.

Update graag je Drupal website

We raden onze Drupal klanten aan om zo snel mogelijk hun site te updaten – mocht je dat nog niet gedaan hebben. Op de website van Drupal vind je meer informatie over de beschikbare updates per Drupal versie. Drupal 6 is inmiddels end-of-life, vandaar dat Drupal voor deze versie geen updates beschikbaar heeft. Heb je nog een Drupal 6 site, dan is het goed om te weten dat er bedrijven zijn die onder de noemer ‘Long Term Service Vendors’ wel security patches uitbrengen. Namen vind je op de D6LTS pagina van Drupal.

Gebruikers die niet kunnen updaten, wordt door Drupal onder meer aangeraden om de site tijdelijk te vervangen door een statische html-pagina. Dat geeft wel aan dat alle Drupal gebruikers aangeraden wordt om dit lek heel serieus te nemen.

 op

Evelien is communicatiespecialist en houdt zich dagelijks bezig met het leveren van informatie. Van het schrijven van blogs en e-mails tot het structureren van informatie op de Kennisbanken van Byte. Buiten werktijd sport ze graag, volgt ze toneelcursussen en wil ze thuis (heel soms) nog wel eens online shoppen.