Drupal

Drupal-sider halter stadig efter Drupalgeddon 2

Dansk

Udviklerne af Drupal lukkede et meget alvorligt sikkerhedshul i CMS'et den 28. marts, men der stadig massevis af sider, der ikke er blevet opdateret.

Faktisk vurderes det i en analyse, at 100.000 Drupal-sider ikke har installeret rettelsen, og derved står de svagt overfor eventuelle angreb.

Tallet er fremkommet ved en internet-skanning efter Drupal-installationer.

Sårbarbarheden (CVE-2018-7600) er vurderet til at være en af de alvorligste svagheder, der har ramt Drupal siden Drupalgeddon, der blev opdaget tilbage i 2014.

Angribere udnytter kritisk hul i Drupal

Dansk

Som varslet lukkede udviklerne af CMS'et Drupal et kritisk sikkerhedshul i går. Efter få timer observerede de de første angreb, der udnyttede sårbarheden.

Sårbarheden har en risikovurdering på 20 ud af 25 på Drupals egen skala. Den betegnes som meget kritisk, idet den kan give en angriber fuld kontrol over et websted, der kører på en sårbar Drupal-platform.

Fejlen er rettet i version 7.59 og 8.5.3. Brugere af 8.4.x skal opdatere til 8.4.8 og derefter gå videre til 8.5.3.

Drupal planlægger kritisk opdatering

Dansk

Drupal udsender en vigtig opdatering til CMS'et i morgen. Den ventes at lukke et kritisk sikkerhedshul.

Opdateringen udsendes den 25. april mellem klokken 18 og 20 og dansk tid.

Drupal har for nylig lukket et andet meget kritisk sikkerhedshul, som angribere udnytter for øjeblikket.

Anbefaling

Administratorer af Drupal-systemer bør forberede sig på at opdatere i morgen aften.

Angribere udnytter hul i Drupal

Dansk

Udviklerne af Drupal lukkede et meget alvorligt sikkerhedshul i CMS'et den 28. marts. I sidste uge offentliggjorde en russisk sikkerhedsforsker programkode, der demonstrerer, hvordan sårbarheden kan udnyttes.

Kort tid derefter observerede sikkerhedsfirmaet Sucuri de første forsøg på at udnytte sårbarheden.

Flere sikkerhedsfirmaer rapporterer om servere, der er blevet inficeret med skadelig software. Det gælder blandt andet bagdøre og software, der danner kryptovaluta.

Drupal lukker kritisk hul

Dansk

Udviklerne af CMS'et Drupal har lukket et kritisk sikkerhedshul. En angriber kan afvikle skadelig programkode på et sårbart websted uden at angive brugernavn og password.

Fejlen er rettet i Drupal 7.58 og Drupal 8.5.1, der blev udsendt den 28. marts.

Endvidere har Drupal 6 Long Term Support-projektet udviklet rettelser til version 6.

Der kendes endnu ikke til angreb, der udnytter sårbarheden.

Anbefaling

Opdater til en rettet version.

Drupal forbereder at lukke meget alvorligt hul

Dansk

Mellem klokken 20 og 21:30 onsdag den 28. marts udsender Drupal en opdatering, der fjerner en ekstremt kritisk sårbarhed i CMS'et. Der kommer rettelser til Drupal 7.x, 8.3.x, 8.4.x og 8.5.x.

Drupal er holdt op med at vedligeholde version 8.3 og 8.4. Men fordi sårbarheden er så alvorlig, kommer der alligevel også opdateringer til disse versioner.

Udviklerne forudser, at angrebsprogrammer til at udnytte sårbarheden kan blive udviklet i løbet af timer eller dage. De anbefaler derfor, at brugere af Drupal opdaterer hurtigst muligt.

Drupal lukker alvorlige sikkerhedshuller

Dansk

Drupal har lukket sikkerhedshuller i Drupal 7 og 8. To af dem har fået udviklernes højeste risikovurdering.

En sårbarhed i kommentarfunktionen findes kun Drupal 8. Den giver brugere, der har lov til at kommentere indhold, mulighed for at se og kommentere indhold, de ikke burde have adgang til.

En beskyttelse mod cross-site scripting-angreb i version 7 og 8 er ikke helt effektiv.

To moderat alvorlige sårbarheder i Drupal 7 og en i version 8 er også rettet. Endelig er der en enkelt mindre kritisk sårbarhed i version 7.

Drupal lukker alvorligt hul

Dansk

Den alvorlige sårbarhed giver angribere mulighed for at se, rette eller slette indhold på webstedet. Det gælder kun for enheder, der ikke har UUID'er.

Den og de to øvrige sårbarheder findes kun i Drupal 8 Core. Drupal 7 Core er ikke berørt, men det er Drupal 7 Views.

Fejlene i Drupal 8 er rettet med version 8.3.7.

Fejlen i Drupal 7 Views er rettet med Views 7.x-3.17.

Anbefaling

Opdater til en rettet version.

Drupal lukker tre sikkerhedshuller

Dansk

Den alvorlige sårbarhed findes kun i Drupal 8. Den ligger i PECL YAML-parseren og giver mulighed for at afvikle skadelig programkode.

En mindre alvorlig sårbarhed i Drupal 8 ligger i REST-ressourcen.

En moderat alvorlig sårbarhed i Drupal 7 og 8 gør, at filer, som brugere har uploadet til et privat filsystem, kan ses af anonyme brugere. Angribere udnytter sårbarheden i praksis til at udsende spam.

Fejlene er rettet i Drupal 7.56 og 8.3.4.

Anbefaling

Opdater til en rettet version.

Drupal lukker alvorligt hul

Sårbarheden lader en angriber omgå adgangskontrollen. Drupal betegner sårbarheden som kritisk.

Fejlen findes ikke i Drupal 7, men kun i Drupal 8. Fejlen er rettet med Drupal 8.3.1.

Brugere, der stadig anvender 8.2.7 eller tidligere versioner, kan opdatere til 8.2.8. Normalt udsender Drupal ikke opdateringer til ældre versioner, men på grund af denne sårbarheds høje risiko har udviklerne gjort det denne gang.

Anbefaling

Opdater til Drupal 8.3.1 eller 8.2.8.

Dansk
Abonnér på RSS - Drupal