Patch voor 'zeer kritieke' lekken in Drupal
Gepubliceerd: Maandag 18 augustus 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Drupal heeft upgrades en patches uitgebracht voor enkele kwetsbaarheden in het content management systeem. De organisatie omschrijft de lekken als 'zeer kritiek'.
De lekken hebben gevolgen voor versies 5.x en 6.x van de blogsoftware. Het gaat onder meer om een cross site scripting (XSS) lek en een kwetsbaarheid die kwaadwillenden in staat stelt om via de BlogAPI module kwaadaardige bestanden te uploaden.
Drupal adviseert gebruikers van de software om zo snel mogelijk te updaten naar versie 6.4 (of 5.10) van de software. Het alternatief is om een patch te installeren. De patch verhelpt de security-problemen, maar implementeert niet de andere verbeteringen die er in de loop van de tijd aan de Drupal-software zijn toegevoegd.
Omdat cms'en als Drupal ook redelijk populair zijn onder onervaren gebruikers, is het lang niet vanzelfsprekend dat iedereen de security-updates installeert. Een jaar geleden klaagden diverse Nederlandse providers dat lekken in Drupal en Joomla zouden leiden tot misbruik vanaf hun servers.
Bron: Techworld
