Drupal 6, 7 én 8 zeer kritisch beveiligingsprobleem op komst
Het Drupal Security Team heeft een aankondiging geplaatst dat op woensdag 28 maart een zeer kritisch beveiligingsprobleem zal worden gepubliceerd. Een 'highly critical' in the Drupal Core is niet iets dat je zomaar kan negeren. Lees verder waarom.
Voor Drupal 6, 7 en 8 is het opletten geblazen. Ons blogbericht is gebaseerd op deze pagina, waarop het Drupal Security Team aankondigingen plaatst over beveiligingsproblemen. Je stelt je nu wellicht de vraag, wat is er zo speciaal aan deze update? CMS-software zoals Wordpress, Joomla en Drupal wordt immers continu geüpdatet.
Wel, wij schrijven dit bericht omdat het om een highly critical bug gaat in de Drupal Core, waarbij alle versies vatbaar zijn. Hier moeten we je over informeren, want het gaat niet om een alledaags beveilingsprobleem. Elke Drupal site zal onmiddellijk moeten geüpdatet worden, of...
Of wat? Shit will happen!
Even terug in de geschiedenis
We gaan specifiek eens terug naar 15 oktober 2014. Een eeuwigheid geleden, lijkt het. Maar wel een ideaal voorbeeld om de ernst van de situatie in te schatten. Om 16:02 publiceerde het Drupal Team een soortgelijke bug en amper een paar uur later al werd het eerste misbruik gemeld. Een gehackte Drupal-installatie is dan ook bijzonder ernstig. In een latere post stelde het Drupal-team dan ook dat elke Drupal-installatie die niet geüpdatet was voor 15 oktober 23:00 als gecompromitteerd beschouwd moest worden.
Wij hebben toen massaal backups teruggezet van iedereen die niet op tijd een update geïnstalleerd had.
Nu naar vandaag
De geschiedenis herhaalt zich. Vandaag stelt het Drupal-team het volgende:
The Drupal Security Team urges you to reserve time for core updates at that time because exploits might be developed within hours or days.
De quote spreekt voor zich. Bovendien betreft dit alle versies van Drupal, dus niet alleen de laatste versie (versie 8), maar ook oudere versies 7 en 6.
Ik heb een Drupal-site. Wat moet ik doen?
Iedereen met een Drupal-site moet zorgen dat zijn webbouwer klaarstaat om de site te updaten. Ga hier niet te licht over, contacteer hem en vraag bevestiging of hij woensdagavond 28 maart tussen 18:00 en 19:30 klaar zal staan om jouw site te updaten.
Ik ben een Drupal-developer. Wat moet ik doen?
Jij bent een professional. Dus je volgt, net als wij, de situatie op de voet en hebt alle afspraken voor woensdagavond gecancelled ;). Het spreekt voor zich dat wij voor je ter beschikking staan als je vragen hebt.
Heb je een Drupal 6? Ook deze is kwetsbaar, zie deze tweet. Het Drupal Team maakt hier geen patches voor, maar mogelijk vind je wel updates op de D6LTS pagina.
Tot slot
Paniek zaaien is het laatste wat we willen. Een bug als dit gebeurt vaker en een update is allesbehalve moeilijk. Je moet er alleen op tijd mee starten! Heb je vragen over deze kwestie? Aarzel dan niet om ons te contacteren.
Updates
11 april 2018: Na een gedetailleerd artikel over de bug en Proof Of Concepts op Github, is het hek van de dam. We zien massaal pogingen tot hacking van Drupal-websites. Als je site nu niet de laatste versie heeft ben je een vogel voor de kat. Het gaat zelfs zo ver dat het Drupal-team stelt dat elke site die niet gepatched is voor deze datum, als verdacht beschouwd moet worden. Bron: https://www.drupal.org/psa-2018-002.
Dus als je site nu nog niet up to date is, contacteer ons onmiddellijk voor een backup van voor 11 april!
23 april 2018: Een nieuwe aankondiging is gemaakt door Drupal. Op 25 april komt een followup van dezelfde bug online, wellicht met een nieuw gevonden kwetsbaarheid gerelateerd aan de vorige. Houd jullie klaar!
Bron: https://www.drupal.org/psa-2018-003
Vragen of opmerkingen?
Laat het ons zeker weten via onze chatbox!
We helpen je graag verder.
Deel deze blog via
