Tweede gat in Drupal deze maand

Beheerders van Drupal-servers versies 7 en 8 moeten zo snel mogelijk patchen, omdat een kwetsbaarheid in de software het mogelijk maakt kwaadaardige code op afstand te laten uitvoeren. Typische toepassingen zijn ransomware, cryptocurrency miners en de inzet bij DDoS-aanvallen. Websites op Drupal 7 moeten upgraden naar Drupal 7.59, die op Drupal 8.5 naar 8.5.3 en wie nog Drupal 8.4 draait krijgt bij wijze van uitzondering een upgrade naar 8.4.8 en kan van daaruit naar 8.5.3.

Proof-of-concept-aanvalscode die gisteren gepubliceerd is, werd meteen ingezet. Hackers kunnen deze aanval niet automatiseren, omdat hij aangepast moet worden aan elke individuele configuratie, en hebben zich daarom tot nu toe gericht op de meest waardevolle sites. Succesvolle overnames zijn echter nog niet gemeld, aldus het Drupal-ontwikkelteam.

Drupalgeddon2

Eind maart werd ook al een kwetsbaarheid, die keer ook in Drupal 6, ontdekt en benut. Ontbrekende inputvalidatie gaf iedere bezoeker toen de mogelijkheid code te laten uitvoeren met een GET, POST of cookie. De bijnaam Drupalgeddon2 werd gegeven omdat het meer dan een miljoen websites betrof. Onder andere het geplaagde Ministerie van Energie van Oekraïne kwam onder vuur.

Net als nu het geval is, besloten de ontwikkelaars ook toen de verder niet ondersteunde versies 8.3 en 8.4 alsnog van een patch te voorzien.