Drupal-sites kwetsbaar door onveilig updateproces

[Captain Kirk]

Alle websites die van het cms Drupal gebruikmaken hebben te maken met een onveilig updateproces waardoor aanvallers in het ergste geval de website kunnen overnemen en toegang tot de database kunnen krijgen. Onderzoeker Fernando Arnaboldi van beveiligingsbedrijf IOActive ontdekte verschillende problemen met het contentmanagementsysteem (cms), dat door zo'n 2% van alle websites wordt gebruikt.

Het eerste probleem is dat als het updateproces van Drupal mislukt, Drupal vervolgens laat weten dat de website up-to-date is. Er wordt geen waarschuwing getoond, waardoor beheerders ten onrechte kunnen denken dat ze de meest recente versie gebruiken. Het tweede probleem dat Arnaboldi aantrof maakt het mogelijk om kwaadaardige updates met een backdoor aan beheerders aan te bieden. Gebruikers moeten de update nog wel zelf installeren, aangezien dit niet automatisch gebeurt. De update zou echter wel binnen de omgeving van Drupal zichtbaar zijn en worden aangeboden.

Het derde probleem heeft de grootste impact. Drupal-beveiligingsupdates worden namelijk onversleuteld verstuurd en zodra de update is gedownload wordt de authenticiteit niet gecontroleerd. Een aanvaller die een man-in-the-middle-aanval op het Drupal-updateproces kan uitvoeren, kan daardoor code uitvoeren en toegang tot de database krijgen. Aangezien er vooralsnog geen oplossing beschikbaar is, krijgen beheerders van Drupal-websites het advies om updates voor Drupal en Drupal-extensies handmatig via de website te downloaden.

 

bron: security.nl