Security lek in Drupal contrib modules

leaking, security breach

Op woensdag 13 juli kwam er tegen de avond een lijst van modules vrij die te maken hadden met een zwaar beveiligingslek. Via dit lek kunnen kwaadwillige gebruikers malafide code uitvoeren op een getroffen website en hierdoor onbeperkte toegang verkrijgen.

De aankondiging van het lek kan u op de Drupal website terugvinden. De sites die wij hosten en getroffen waren door dit lek werden reeds ‘gepatched’. Van zodra we de lijst doorkregen gingen we hiermee aan de slag.

Wat is de impact?

Aangezien het om contrib modules gaat, is niet elke Drupal 7 site slachtoffer van dit lek. Contrib modules bevatten extra functionaliteit die als uitbreiding geïnstalleerd kunnen worden op de Drupal 7 Core. Een getroffen site moet dus gebruik maken van minstens 1 van de volgende modules:

Een Drupal lek die zich bijna twee jaar terug voordeed had om die reden een grotere impact. Aangezien het daar om een lek ging in Drupal Core zelf, was direct elke Drupal 7 site kwetsbaar.