Kärnan i Drupal 8 hackad, nästan alla användare drabbade

In Drupal, Nyheter by Martin Edenström5 Comments

Drupal upplever ett eget WannaCry-problem, utanför de globala maskattackerna. Det har visat sig att alla Drupal 8 versioner under version 8.2.8 respektive 8.31 (som skiljer sig, då de ska utgöra varsin egen “branch”) har en stor säkerhetsbrist i sin kärna. Det skriver Threatpost.

samtliga användare på version 8.0 och 8.1 samt framåt är även drabbade.

Hackare kan ta över hela plattformen om användarregistrering är påslaget samt det finns aktiverat stöd för RESTful Web Services. Två vanliga mycket egenskaper hos sajtägare att ha aktiverat. Flera säkerhetsexperter varnar nu för bristerna.





Drupal försvarar sig med att uppdateringar är viktigt. De berättar att Drupal 8.1 ska nått sitt “end-of-life” för sex månader sedan – samt att Drupal 8.0 har passerat sitt “end-of-life” för ett år sedan. Men det är en krävande ansvarsförskjutning. Det är många sajtägare som inte kan, eller vågar uppdatera sina licenser så pass ofta.

Drupal rekommenderar framöver att all användarregistrering slås av om den inte är kritiskt för organisationen. Vilket rimmar extra illa med Acquias slogan:

“CMS Platform for Content, Community, Commerce”.

Innan dessa uppdateringar släpptes hade det inte kommit några säkerhetsförbättringar sedan hösten 2016.

Intresserade av Drupal?

Representanter från MKSE.com har ansvarat för strategiarbete samt upphandling åt kunder som KI.se, TeliaSonera och Nordiska Muséet.

Kärnan i Drupal 8 hackad, nästan alla användare drabbade redigerades: maj 15th, 2017 av Martin Edenström

Kommentarer

  1. Nu blir det rejäla faktafel Martin och en enormt fel rubriksättning. Drupalkärnan är inte hackad och det vet du också, utan det är som i alla projekt så att man hittar säkerhetshål. Drupal är extremt transparent i hanteringen av sin kod (något som man givetvis uppskattar om man på riktigt bryr sig om vad man använder), vilket betyder att alla eventuella säkerhetsbrister som hittats åtgärdas varje onsdag, där är det få licensierade system som kommer i närheten. Alla som kan någon om IT säkerhet vet att man löpande uppdaterar sin mjukvara. Det betyder att ingen som hanterar Drupal så som man skall hantera mjukvara är speciellt utsatta. Att man skall stänga av funktionalitet man inte använder är också ganska givet av flera skäl än av säkerhetsskäl

  2. Hej,
    Det där med kärnan kom från internationella nyhetssajterna:
    “A critical vulnerability in the Drupal Core engine was addressed” skriver Threatpost.
    “Drupal corrects four flaws in core CMS” skriver SC Magazine.
    “Drupal fixes critical access bypass vulnerability” skriver CSO.com.au

    Bra du förtydligar med “varje onsdag” informationen.

    Men det där med att löpande få uppdateringar utförda är visst ett problem – det anser många redaktörer jag är i kontakt med. Oavsett om det är open source eller inte.

  3. “A critical vulnerability in the Drupal Core engine was addressed” betyder att man har rättat en bugg inte att man blivit hackad, det är stor skillnad och helt normalt för alla system. Problemet med uppdateringar gäller ju precis all mjukvara och där är det ju bara att gilla läget. Det gäller din telefon, ditt CMS etc. Den störst orsaken till de på riktigt hackade systemen som nyheterna skriver om idag beror enbart på just det faktumet att organisationer / privatpersoner inte tar sitt ansvar och uppdaterar. Det går att problematisera kring att det sker varje onsdag som i Drupals fall, men det innebär ju att man rättar problemen snabbare (vilket är avgörande för att stoppa utnyttjandet av hål som finns och alltid kommer att finnas i alla system).

  4. Det bör också poängteras att det antal siter som använder den funktionalitet som man hittade säkerhetsproblemet i är extremt minimalt – det är är när man kan skapa användare genom REST, ett case som väldigt få webbplatser använder sig. Det gick ut en tidig varning för att det skulle komma en patch som var viktig att få ut, och alla siter som använder sig av funktionaliteten hade antagligen patchat innan någon ens försökt hacka.

    I övrigt, grymt felaktig artikel Martin.

  5. Och för övrigt – man uppdaterar inte en Drupal licens, Drupal är open source, och ingen licens som någonsin behöver uppdateras.

Leave a Comment