Drupal komt met aanvullende noodpatch voor ernstig lek

[Captain Kirk]

De ontwikkelaars van het Drupal-platform komen op 25 april met een aanvullende noodpatch voor een zeer ernstig beveiligingslek dat op 28 maart werd gepatcht. Beheerders van een Drupal-website krijgen het advies om de update snel te installeren, aangezien er een risico is dat ongepatchte websites uren of dagen na het uitkomen van de noodpatch zullen worden aangevallen.

Op 28 maart verscheen er een noodpatch voor een zeer ernstige kwetsbaarheid waardoor aanvallers Drupal-websites volledig kunnen overnemen. Alle Drupal-websites die deze noodpatch sinds 11 april niet hebben geïnstalleerd moeten volgens experts als gehackt worden beschouwd. Vorige week waarschuwde een securitybedrijf nog dat gehackte Drupal-sites door een botnet worden gebruikt voor het delven van cryptovaluta en het uitvoeren van ddos-aanvallen.

De noodpatch van 28 maart loste het probleem waarschijnlijk niet volledig op, aangezien er nu een aanvullende noodpatch is aangekondigd. Deze noodpatch verschijnt woensdag 25 april tussen 18:00 en 20:00 uur Nederlandse tijd voor Drupal 7.x, 8.4.x en 8.5.x. Meer dan een miljoen websites draaien deze versies van het Drupal-platform. De noodpatch vereist geen database-update.

 

 

bron: security.nl