Aantal onbeveiligde Drupal websites een stuk kleiner dan gedacht

7 september 2019

Onlangs werd in de media gemeld dat een groot aantal Drupal websites nog steeds gevoelig zijn voor de recente, zeer kritieke SA-CORE-2018-002 en SA-CORE-2018-004 beveiligingslekken. De mate waarin het lek nog aanwezig zou zijn is echter overtrokken en niet te achterhalen op die manier die in de berichtgeving wordt gemeld.

security

Eerder dit jaar werd een ernstig lek in Drupal gevonden. Dit lek zorgde ervoor dat hackers websites konden misbruiken voor het minen van cryptovaluta. In veel Drupal websites werd het lek gedicht met een patch, die door het Drupal beveiligingsteam werd uitgegeven.  

In de media was echter te lezen dat bij een groot aantal websites het lek nog niet gedicht is. Deze vermeldingen zijn allen gebaseerd op dezelfde bron, die de inhoud van het bestand CHANGELOG.txt van een groot aantal websites onderzocht en aannam dat alle websites met een versie lager dan 7.58 gevoelig zijn voor misbruik van het lek.

De inhoud van CHANGELOG.txt controleren is echter geen volwaardige manier om vast te stellen of een site gevoelig is voor een bepaalde aanvalsvector. Patches die door het Drupal beveiligingsteam werden gedistribueerd om de problemen op te lossen, werden op grote schaal gebruikt. Deze patches raakten CHANGELOG.txt of de elders gedefinieerde versienummers niet aan.

De gepresenteerde cijfers kloppen niet en het is dan ook niet terecht om conclusies te trekken op basis van deze schaarse informatie. Drupal heeft een lange geschiedenis en goede reputatie omtrent haar betrouwbare en secuur gecoördineerde beveiligingsprogramma en is ervan overtuigd bovengenoemde issues opgelost te hebben.

Voor meer informatie rondom dit bericht, of voor overige Drupal-gerelateerde vragen, kunt u contact opnemen met Stichting Drupal Nederland via bestuur@stichtingdrupal.nl.