Som varslet lukkede udviklerne af CMS'et Drupal et kritisk sikkerhedshul i går. Efter få timer observerede de de første angreb, der udnyttede sårbarheden.
Sårbarheden har en risikovurdering på 20 ud af 25 på Drupals egen skala. Den betegnes som meget kritisk, idet den kan give en angriber fuld kontrol over et websted, der kører på en sårbar Drupal-platform.
Fejlen er rettet i version 7.59 og 8.5.3. Brugere af 8.4.x skal opdatere til 8.4.8 og derefter gå videre til 8.5.3.
Udviklerne af Drupal lukkede et meget alvorligt sikkerhedshul i CMS'et den 28. marts. I sidste uge offentliggjorde en russisk sikkerhedsforsker programkode, der demonstrerer, hvordan sårbarheden kan udnyttes.
Kort tid derefter observerede sikkerhedsfirmaet Sucuri de første forsøg på at udnytte sårbarheden.
Flere sikkerhedsfirmaer rapporterer om servere, der er blevet inficeret med skadelig software. Det gælder blandt andet bagdøre og software, der danner kryptovaluta.
Udviklerne af CMS'et Drupal har lukket et kritisk sikkerhedshul. En angriber kan afvikle skadelig programkode på et sårbart websted uden at angive brugernavn og password.
Fejlen er rettet i Drupal 7.58 og Drupal 8.5.1, der blev udsendt den 28. marts.
Endvidere har Drupal 6 Long Term Support-projektet udviklet rettelser til version 6.
Der kendes endnu ikke til angreb, der udnytter sårbarheden.
Mellem klokken 20 og 21:30 onsdag den 28. marts udsender Drupal en opdatering, der fjerner en ekstremt kritisk sårbarhed i CMS'et. Der kommer rettelser til Drupal 7.x, 8.3.x, 8.4.x og 8.5.x.
Drupal er holdt op med at vedligeholde version 8.3 og 8.4. Men fordi sårbarheden er så alvorlig, kommer der alligevel også opdateringer til disse versioner.
Udviklerne forudser, at angrebsprogrammer til at udnytte sårbarheden kan blive udviklet i løbet af timer eller dage. De anbefaler derfor, at brugere af Drupal opdaterer hurtigst muligt.
Drupal har lukket sikkerhedshuller i Drupal 7 og 8. To af dem har fået udviklernes højeste risikovurdering.
En sårbarhed i kommentarfunktionen findes kun Drupal 8. Den giver brugere, der har lov til at kommentere indhold, mulighed for at se og kommentere indhold, de ikke burde have adgang til.
En beskyttelse mod cross-site scripting-angreb i version 7 og 8 er ikke helt effektiv.
To moderat alvorlige sårbarheder i Drupal 7 og en i version 8 er også rettet. Endelig er der en enkelt mindre kritisk sårbarhed i version 7.
Den alvorlige sårbarhed findes kun i Drupal 8. Den ligger i PECL YAML-parseren og giver mulighed for at afvikle skadelig programkode.
En mindre alvorlig sårbarhed i Drupal 8 ligger i REST-ressourcen.
En moderat alvorlig sårbarhed i Drupal 7 og 8 gør, at filer, som brugere har uploadet til et privat filsystem, kan ses af anonyme brugere. Angribere udnytter sårbarheden i praksis til at udsende spam.
Sårbarheden lader en angriber omgå adgangskontrollen. Drupal betegner sårbarheden som kritisk.
Fejlen findes ikke i Drupal 7, men kun i Drupal 8. Fejlen er rettet med Drupal 8.3.1.
Brugere, der stadig anvender 8.2.7 eller tidligere versioner, kan opdatere til 8.2.8. Normalt udsender Drupal ikke opdateringer til ældre versioner, men på grund af denne sårbarheds høje risiko har udviklerne gjort det denne gang.
