Security lek in Drupal 7

Drupal logo

Op 15 oktober tegen de avond werd ontdekt dat er een lek was in 'Drupal Core'. Via dit lek kunnen hackers onbeperkte toegang verkrijgen tot sites met Drupal 7.

De aankondiging van het lek kan u op de drupal.org site vinden

Voor alle duidelijkheid: wij hebben ALLE Drupal 7 sites die we hosten reeds 'gepatched'. Dit wil zeggen dat het stukje code dat het lek veroorzaakt vervangen is. We hebben niet enkel de sites die we zelf gebouwd hebben gepatched maar ook deze die wij hosten in opdracht van andere webontwikkelaars.

Moeten wij ons nu zorgen maken om de veiligheid van Drupal?

Drupal is open source en elk lek in de software wordt zonder verpinken op de Drupal.org site gezet. Zo worden ontwikkelaars gedwongen het probleem snel op te lossen. Door de enorme populariteit van Drupal worden lekken in de software doorgaans altijd eerst ontdekt door mensen die geen slechte bedoelingen hebben. Hierdoor kan men de indruk krijgen dat Drupal veel lekken bevat. 

Drupal is er voor gekend om zeer veilig te zijn en wordt dan ook gebruikt door veel grote sites met gevoelige informatie. 

Is closed source veiliger?

Neen. Closed source is niet per definitie veiliger, er is geen reden om dat aan te nemen. Closed source sofware zal doorgaans niets communiceren als er een lek gevonden wordt. Het lek zal later via een grote update zonder al te veel poeha binnengehaald en geinstalleerd worden, meestal enige tijd nadat het probleem ontdekt werd. Hierdoor zullen lekken in closed source pas de media halen als de software effectief gehacked werd en de hackers dit bekend maken.