Drupal 7.59 / 8.4.8 / 8.5.3

Drupal logo Er zijn updates voor versie 7.5, 8.4 en 8.5 van Drupal verschenen, waarin verschillende kwetsbaarheden zijn verholpen. Drupal is een in php geschreven, gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Het is eenvoudig genoeg voor een beginnende gebruiker, maar krachtig genoeg om ook een wat complexere website te bouwen. Het programma bevat een contentmanagementplatform en een development-framework. De release notes voor deze uitgaven kunnen hieronder worden gevonden.

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004

Security risk: 20/25 AC:Basic/A:User/CI:All/II:All/E:Exploit/TD:Default
Vulnerability: Remote Code Execution
Description: CVE: CVE-2018-7602

A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentially allows attackers to exploit multiple attack vectors on a Drupal site, which could result in the site being compromised. This vulnerability is related to Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002. Both SA-CORE-2018-002 and this vulnerability are being exploited in the wild.

Updated — this vulnerability is being exploited in the wild.

Solution: Upgrade to the most recent version of Drupal 7 or 8 core.

If you are running 7.x, upgrade to Drupal 7.59.

If you are running 8.5.x, upgrade to Drupal 8.5.3.

If you are running 8.4.x, upgrade to Drupal 8.4.8.
(Drupal 8.4.x is no longer supported and we don't normally provide security releases for unsupported minor releases. However, we are providing this 8.4.x release so that sites can update as quickly as possible. You should update to 8.4.8 immediately, then update to 8.5.3 or the latest secure release as soon as possible.)

If you are unable to update immediately, or if you are running a Drupal distribution that does not yet include this security release, you can attempt to apply the patch below to fix the vulnerability until you are able to update completely:

Patch for Drupal 8.x (8.5.x and below)

Patch for Drupal 7.x

These patches will only work if your site already has the fix from SA-CORE-2018-002 applied. (If your site does not have that fix, it may already be compromised.)

Drupal 8 install (620 pix)

Lees meer

Reacties (10)

demon326 26 april 2018 08:41

Als je de Media Module versie 7.x-2.x hebt draaien, dien je deze ASAP te updaten. Deze bevat namelijk ook een serieuze veiligheids update die te maken heeft met de laatste core update.

Meer info: https://www.drupal.org/sa-contrib-2018-020

HeAdWaVe74 @demon326 • 26 april 2018 08:54

Daar kwam ik ook achter vanmorgen.

Ik was door de eerdere melding al scherp op de core update, en die vrij snel kunnen doorvoeren.
Maar die Media update vanmorgen pas gezien.

SideShow 26 april 2018 13:10

Kan iemand me vertellen waarom drupal nu afdwingt dat je _format=json in de url hebt staan, als je een request verstuurt met een header die reeds aangeeft dat het json is?
Ik kreeg dit vanmorgen binnen als ticket op mijn werk, dus ik moest een (javascript) client aanpassen, maar voor de rest heb ik geen enkele ervaring met drupal. De api call werkte gewoon voorheen, maar nu sedert de update van deze week, moest ik dus die aanpassing doen.

Tielenaar @SideShow • 26 april 2018 16:47

Het lijkt me stug dat deze security fix er iets mee te maken heeft.
_format=json zorgt ervoor dat je entity als json geoutput wordt ipv html normale output. Wat heeft een header daar mee te maken?

SideShow @Tielenaar • 27 april 2018 08:34

Er stond al een accept: application/json header in de request, maar de server crashte er op. Ik kreeg als opdracht van het drupal team _format=json in de url van de request toe te voegen, dan werkte het terug. Als antwoord kreeg ik dat dit nu vereist is door de nieuwe updates van drupal. Geen idee waarom. Lijkt me inderdaad een beetje vreemd.

Mar2zz @SideShow • 27 april 2018 11:18

Dus iedereen kan jouw server crashen door zo een header te sturen? Lijkt me niet default behaviour.

SideShow @Mar2zz • 27 april 2018 13:26

De accept en content-type headers zijn standaard en sedert jaar en dag gespecifieerd in het http protocol. Ik weet niet waar je op aan stuurt, maar de vraag gaat dus over drupal en waarom die nu plots afdwingt dat je format in een url parameter zit, terwijl de http headers reeds perfect aangeven wat de content is en welke content je terug verwacht.
Verder crasht de server natuurlijk niet, we bedoelen natuurlijk dat de request een 500 terug stuurt.

Mar2zz @SideShow • 27 april 2018 16:41

Ah 500. Dat verduidelijkt het. Met crash dacht ik aan wsod of erger.

Eärendil 26 april 2018 09:26

De patch is ook beschikbaar voor Drupal 6.x:
https://cgit.drupalcode.o...re/SA-CORE-2018-004.patch

tszcheetah

26 april 2018 09:51

Het lek werd al binnen een paar uur nadat deze update was vrijgegeven misbruikt (volgens het security team). Ook de media module voor Drupal 7 bevat een vergelijkbaar lek. Wie z'n site niet direct gepatcht heeft moet nu heel erg opschieten. Het uitbuiten van het lek schijnt nog wat lastiger te automatiseren zijn omdat er meer rechten nodig zijn (bron) maar het zal vast niet lang duren voordat ernstige gevolgen zitten aan het niet bijwerken van een installatie.

Op dit item kan niet meer gereageerd worden.

Versienummer	7.59 / 8.4.8 / 8.5.3
Releasestatus	Final
Besturingssystemen	Scripttaal
Website	Drupal
Download	https://www.drupal.org/download
Licentietype	GPL

04-'23	Drupal 7.96 /9.4.14 / 9.5.8 / 10.0.8	0
03-'23	Drupal 7.95 / 9.4.12 / 9.5.5 / 10.0.5	0
12-'22	Drupal 9.5.0	0
12-'22	Drupal 10.0.0	0
08-'22	Drupal 9.4.5	0
06-'22	Drupal 9.4.0	0
05-'22	Drupal 9.2.20 / 9.3.14	31
03-'22	Drupal 9.2.16 / 9.3.9	5
03-'22	Drupal 9.3.7	0
02-'22	Drupal 9.3.6	2

Software-update: Drupal 7.59 / 8.4.8 / 8.5.3

Update-historie

Lees meer

Reacties (10)

Sorteer op:

Weergave: