Het Drupal-project is op aandringen website beheerders updates te installeren onmiddellijk na het bekendmaken van een zeer kritisch tot uitvoering van externe code bug waardoor de Drupal core CMS.
De bug werd beschouwd als ernstig genoeg is voor Drupal security team te waarschuwen voor de beheerders een dag van tevoren van woensdag in de patch release voor het reserveren van tijd voor het aanpakken van de bug.
Drupal is de derde meest populaire CMS voor website publiceren, goed voor ongeveer drie procent van de wereldbevolking miljard-plus websites. Hackers kunnen gebruik maken van de fout, bijgehouden, zoals CVE-2019-6340, te kapen van een Drupal site en mogelijk controle te nemen van een web server.
Volgens Drupal, de fout is te wijten aan bepaalde bestandstypen niet goed schoonmaken van gegevens uit niet-vorm bronnen, zoals RESTful web services. Deze tekortkoming kan leiden tot willekeurige PHP code kan worden uitgevoerd, het is een waarschuwing.
Totdat er een update naar een beveiligde versie kan worden voltooid, kunnen beheerders het inperken van de bug door het uitschakelen van alle web services modules, volgens Drupal advies. Beheerders kunnen ook het inperken van de fout door te weigeren PUT/PATCH/POST aanvragen tot web services-bronnen.
Aangetaste takken van Drupal core zijn Drupal 8.6.x en Drupal 8.5.x en eerder. Beheerders dienen direct te upgraden naar elke tak van de vaste versies, die zijn Drupal 8.6.10 en Drupal 8.5.11.
Sites zijn alleen van toepassing als de Drupal 8 core RESTful Web Services (rest) – module is ingeschakeld en stelt de PATCH of POST aanvragen. Ook van invloed zijn sites met andere web services modules ingeschakeld, zoals JSON:API in Drupal 8, evenals de Service module of de RESTful Web Services-module in Drupal 7.
ZIE: Hoe te bouwen van een succesvolle ontwikkelaar carrière (gratis PDF)
Drupal is een waarschuwing dat na de update van Drupal core, admins nodig om beveiligingsupdates te installeren voor de verschillende betrokken derden Drupal projecten. Deze omvatten Font Awesome Pictogrammen, het Hulpprogramma voor vertaalbeheer, Alinea ‘ s, Video, Metatag, Link, JSON:API, en RESTful Web Services.
Drupal 7 core eigenlijk niet hoeven te worden bijgewerkt, maar Drupal waarschuwt dat sommige van de genoemde derde-partij projecten voor Drupal 7 zal moeten worden bijgewerkt.
De bug werd ontdekt door het Drupal security team, dus het is waarschijnlijk dat de bug nog niet heeft misbruikt in het wild. Maar gezien de ernst van de bug en de pre-release-alert is, lijkt het project verwacht dat de bug kan worden benut in de nabije toekomst.
In de afgelopen maanden, hackers maken gebruik van Drupal sites die niet installeren van updates aan te pakken meerdere ‘Drupalgeddon 2’ gebreken die zijn vermeld in het afgelopen voorjaar. De aanvallen vooral gericht te installeren cryptocurrency mijnwerkers op de betreffende web-servers.
De aanvallers hadden genoeg van Drupal sites om mee te werken. Uit onderzoek bleek dat meer dan 100.000 sites nog met een versie van het CMS kwetsbaar voor Drupalgeddon 2 bugs drie maanden na vaste versies werd uitgebracht.
Vorige en aanverwante dekking
Hackers gebruiken Drupalgeddon 2 en Vuil KOE exploits over te nemen web servers
Hacks kan gemakkelijk vermeden worden als de mensen zou patch hun Drupal Cms-servers en Linux-servers.
Drie-maanden-oude Drupal kwetsbaarheid wordt gebruikt voor het implementeren van cryptojacking malware
De update werd geacht kritisch, maar gebruikers die nog niet toepassen van de patch zijn het doelwit van aanvallers implementeren cryptocurrency mijnwerkers.
Ongeveer 62 procent van alle Internet sites zal het uitvoeren van een niet-ondersteunde PHP-versie in 10 weken
De zeer populaire PHP 5.x tak zal stoppen met het ontvangen van beveiligingsupdates op het einde van het jaar.
Meer dan de 115.000 Drupal sites nog steeds kwetsbaar voor kritiek lek
Ten minste 1,885 kwetsbare sites zijn in de Alexa top een miljoen sites.
Drupal patches voor kritieke kwetsbaarheden CMS
De bugs zijn onjuiste code hantering en toegang bypass beveiligingslekken.
Hello Kitty: Malware richt zich op Drupal naar de mijne voor cryptocurrency
De Kitty malware niet alleen doelstellingen website-servers en bezoekers, maar laat ook een brutale opmerking voor de katten liefhebbers die er zijn.
Drupalgeddon 2 ravage aan te richten op 900+ sites, want HET is nog steeds niet toegepast updates TechRepublic
Ondanks het feit dat de Drupal-exploit was gemeld-en patch-in Maart 2018, een aantal van 115.000 websites zijn nog steeds kwetsbaar.
Google neemt gericht op vervalste websites met nieuwe Chrome waarschuwing CNET
Omdat de meeste mensen merken niet wanneer ze op de verkeerde website.
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters