Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: Drupal 7.59 / 8.4.8 / 8.5.3

Drupal logo Er zijn updates voor versie 7.5, 8.4 en 8.5 van Drupal verschenen, waarin verschillende kwetsbaarheden zijn verholpen. Drupal is een in php geschreven, gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Het is eenvoudig genoeg voor een beginnende gebruiker, maar krachtig genoeg om ook een wat complexere website te bouwen. Het programma bevat een contentmanagementplatform en een development-framework. De release notes voor deze uitgaven kunnen hieronder worden gevonden.

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004

Security risk: 20/25 AC:Basic/A:User/CI:All/II:All/E:Exploit/TD:Default
Vulnerability: Remote Code Execution
Description: CVE: CVE-2018-7602

A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentially allows attackers to exploit multiple attack vectors on a Drupal site, which could result in the site being compromised. This vulnerability is related to Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002. Both SA-CORE-2018-002 and this vulnerability are being exploited in the wild.

Updated — this vulnerability is being exploited in the wild.

Solution: Upgrade to the most recent version of Drupal 7 or 8 core.

  • If you are running 7.x, upgrade to Drupal 7.59.
  • If you are running 8.5.x, upgrade to Drupal 8.5.3.
  • If you are running 8.4.x, upgrade to Drupal 8.4.8.
    (Drupal 8.4.x is no longer supported and we don't normally provide security releases for unsupported minor releases. However, we are providing this 8.4.x release so that sites can update as quickly as possible. You should update to 8.4.8 immediately, then update to 8.5.3 or the latest secure release as soon as possible.)

If you are unable to update immediately, or if you are running a Drupal distribution that does not yet include this security release, you can attempt to apply the patch below to fix the vulnerability until you are able to update completely:

These patches will only work if your site already has the fix from SA-CORE-2018-002 applied. (If your site does not have that fix, it may already be compromised.)

Versienummer 7.59 / 8.4.8 / 8.5.3
Releasestatus Final
Besturingssystemen Scripttaal
Website Drupal
Download https://www.drupal.org/download
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

26-04-2018 • 07:58

10 Linkedin Google+

Submitter: Zidane007nl

Bron: Drupal

Update-historie

Reacties (10)

Wijzig sortering
Als je de Media Module versie 7.x-2.x hebt draaien, dien je deze ASAP te updaten. Deze bevat namelijk ook een serieuze veiligheids update die te maken heeft met de laatste core update.

Meer info: https://www.drupal.org/sa-contrib-2018-020
Daar kwam ik ook achter vanmorgen.

Ik was door de eerdere melding al scherp op de core update, en die vrij snel kunnen doorvoeren.
Maar die Media update vanmorgen pas gezien.
Kan iemand me vertellen waarom drupal nu afdwingt dat je _format=json in de url hebt staan, als je een request verstuurt met een header die reeds aangeeft dat het json is?
Ik kreeg dit vanmorgen binnen als ticket op mijn werk, dus ik moest een (javascript) client aanpassen, maar voor de rest heb ik geen enkele ervaring met drupal. De api call werkte gewoon voorheen, maar nu sedert de update van deze week, moest ik dus die aanpassing doen.
Het lijkt me stug dat deze security fix er iets mee te maken heeft.
_format=json zorgt ervoor dat je entity als json geoutput wordt ipv html normale output. Wat heeft een header daar mee te maken?
Er stond al een accept: application/json header in de request, maar de server crashte er op. Ik kreeg als opdracht van het drupal team _format=json in de url van de request toe te voegen, dan werkte het terug. Als antwoord kreeg ik dat dit nu vereist is door de nieuwe updates van drupal. Geen idee waarom. Lijkt me inderdaad een beetje vreemd.
Dus iedereen kan jouw server crashen door zo een header te sturen? Lijkt me niet default behaviour.
De accept en content-type headers zijn standaard en sedert jaar en dag gespecifieerd in het http protocol. Ik weet niet waar je op aan stuurt, maar de vraag gaat dus over drupal en waarom die nu plots afdwingt dat je format in een url parameter zit, terwijl de http headers reeds perfect aangeven wat de content is en welke content je terug verwacht.
Verder crasht de server natuurlijk niet, we bedoelen natuurlijk dat de request een 500 terug stuurt.
Ah 500. Dat verduidelijkt het. Met crash dacht ik aan wsod of erger.
Het lek werd al binnen een paar uur nadat deze update was vrijgegeven misbruikt (volgens het security team). Ook de media module voor Drupal 7 bevat een vergelijkbaar lek. Wie z'n site niet direct gepatcht heeft moet nu heel erg opschieten. Het uitbuiten van het lek schijnt nog wat lastiger te automatiseren zijn omdat er meer rechten nodig zijn (bron) maar het zal vast niet lang duren voordat ernstige gevolgen zitten aan het niet bijwerken van een installatie.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True