Zeer ernstig lek in Drupal laat aanvaller PHP-code uitvoeren

[Captain Kirk]

De ontwikkelaars van het contentplatform Drupal hebben beveiligingsupdates uitgebracht voor een zeer ernstige kwetsbaarheid waardoor een aanvaller op afstand PHP-code kan uitvoeren en de website kan overnemen. Het beveiligingslek is door het Drupal-team als zeer ernstige bestempeld.

Drupal-websites lopen alleen risico als de Drupal 8 core RESTful Web Services (rest) module staat ingeschakeld en PATCH- of POST-verzoeken worden toegestaan, of wanneer de website een andere web services module in Drupal 8 heeft ingeschakeld, of van Service of RESTful Web Services in Drupal 7 gebruikmaakt.

Beheerders van Drupal-websites krijgen het advies om te upgraden naar Drupal 8.6.10 of Drupal 8.5.11. In het geval van Drupal 7 vereist de Services module geen update op dit moment. Voor verschillende zogeheten "Drupal 7 contributed modules" zijn wel updates uitgekomen.

Om de kwetsbaarheid meteen te verhelpen kunnen beheerders alle web services modules uitschakelen of de webserver zo configureren dat PUT/PATCH/POST-verzoeken naar web services niet worden toegestaan. Volgens cijfers van W3Techs draait Drupal op 1,9 procent van alle websites op internet.

 

 

bron: security.nl