Af Torben B. Sørensen, 03/04/18
I påskeferien lukkede CMS'et Drupal et meget alvorligt sikkerhedshul.
Udviklerne af CMS'et Drupal har lukket et kritisk sikkerhedshul. En angriber kan afvikle skadelig programkode på et sårbart websted uden at angive brugernavn og password.
Fejlen er rettet i Drupal 7.58 og Drupal 8.5.1, der blev udsendt den 28. marts.
Endvidere har Drupal 6 Long Term Support-projektet udviklet rettelser til version 6.
Der kendes endnu ikke til angreb, der udnytter sårbarheden.
Anbefaling
Opdater til en rettet version.
Links
- Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002
- FAQ about SA-CORE-2018-002
- Drupal Fixes Drupalgeddon2 Security Flaw That Allows Hackers to Take Over Sites, artikel fra Bleeping Computer
- Drupalgeddon: Highly Critical Flaw Exposes Million Drupal Websites to Attacks, artikel fra SecurityWeek