Af Torben B. Sørensen, 22/06/17
Udviklerne af CMS'et Drupal har lukket tre sikkerhedshuller, hvoraf det ene er alvorligt.
Den alvorlige sårbarhed findes kun i Drupal 8. Den ligger i PECL YAML-parseren og giver mulighed for at afvikle skadelig programkode.
En mindre alvorlig sårbarhed i Drupal 8 ligger i REST-ressourcen.
En moderat alvorlig sårbarhed i Drupal 7 og 8 gør, at filer, som brugere har uploadet til et privat filsystem, kan ses af anonyme brugere. Angribere udnytter sårbarheden i praksis til at udsende spam.
Fejlene er rettet i Drupal 7.56 og 8.3.4.
Anbefaling
Opdater til en rettet version.
Links
- Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003
- Drupal Patches Flaw Exploited in Spam Campaigns, artikel fra SecurityWeek