Drupal maakt methode van updaten veiliger

Fernando Arnaboldi luidde enkele dagen terug de noodklok. Drupal-updates worden via onversleutelde internetverbindingen gedistribueerd. En dat biedt hackers de kans om de bestanden ongemerkt te wijzigen, vooral ook doordat Drupal kwetsbaar is voor cross-site forgery.

Het Drupal-team neemt momenteel maatregelen om dat probleem te tackelen, ook al acht het de kans op een man-in-the-middle-aanval via cross-site forgery niet erg groot. Maar onversleutelde bestanden maken het lastiger dan nodig is om te waarborgen dat je de juiste bestanden downloadt, schrijven ze nu. Downloads via Drush, een shell- en scriptinginterface voor Drupal op basis van een commandoregel-interface, vinden nu plaats via SSL. Drush is daarmee de veiligste methode om te updaten. Download-links op projectpagina's staan nu standaard eveneens ingesteld op communicatie via SSL. Aan het aanpassen van de core-module voor het bijhouden van de updatestatus en de url's voor versiecontrole wordt gewerkt.

Meer informatie is te vinden in een post van Drupals beveiligingsteam op Drupa Groups.