Burggravenlaan 264-001
9000 Gent
België
Onlangs kregen we te maken met een groot lek in Drupal 7 en 8. Ons hele team draaide overuren om al onze sites te updaten, zodat ze weer 100% veilig zijn en vlot werken. Dit toont eens te meer aan hoe belangrijk updates zijn voor je website.
Onlangs kregen we te maken met iets wat we intern als ‘core apocalyps’ omschreven. De naam spreekt voor zich: met het hele team hebben we overuren gedraaid om al onze websites optimaal te beveiligen. Een maand later deden we dit nog eens over. Jammer genoeg hadden we bij de eerste ‘run’ één site over het hoofd gezien, maar daarover later meer.
Wat was er aan de hand?
Kort voordien werd op Drupal.org aangekondigd dat er een groot lek gevonden was waarmee bijna elke Drupal site misbruikt kon worden. Wat er juist aan de hand was, werd nog niet gecommuniceerd. Er werd enkel vermeld dat het precieze probleem én de oplossing één week later bekend gemaakt zouden worden. We beseften meteen dat het om een serieus probleem ging.
Als het dan toch zo’n groot lek was, waarom gaven ze dan niet meteen de oplossing?
Het probleem deed zich voor bij de Drupal versies 7 én 8. We spreken over meer dan 1,3 miljoen websites die dringend moesten (her)beveiligd worden. Als de oplossing zomaar publiek gemaakt wordt, zou ze meteen ‘uitgebuit’ kunnen worden door mensen met slechte bedoelingen.
The Drupal Security Team urges you to reserve time for core updates at that time because exploits might be developed within hours or days. Security release announcements will appear on the Drupal.org security advisory page.
bron: https://www.drupal.org/psa-2018-001
Het Drupal Security team heeft iedereen dus de tijd gegeven om de nodige aanpassingen op te nemen in hun planning.
Wat was de oplossing van het probleem?
De oplossing bestond uit een nieuwe release van Drupal. Doordat het zo’n groot probleem was, werd er ook een patch gemaakt voor Drupal 8.3, 8.4 en 8.5. Een patch is een stuk (of meerdere stukken) code dat toegevoegd wordt aan bestaande sites. Een update naar een nieuwe release brengt veel werk met zich mee, wat soms moeilijk in te plannen is voor iedereen. Een patch heeft als voordeel dat het snel geïmplementeerd kan worden.
De meeste van onze websites hebben we via een script gepatcht, een aantal hebben we manueel gedaan. Om het werk helemaal af te maken kregen ook een aantal sites een update naar de laatste versie. In de toekomst zullen we dit soort ingrepen nog verder automatiseren. In sommige gevallen blijft een manuele interventie en controle echter aangewezen.
En wat met de updates?
Voor sommige oude versies van Drupal was er geen patch beschikbaar. In deze gevallen moest de site eerst een update krijgen, waarna we de patch konden toepassen. Bij een update van een Drupal versie kunnen er functionaliteiten wijzigen. Meestal in positieve zin maar soms gaan er ook zaken stuk. Hoe langer een site bestaat, hoe moeilijker het is om ze te updaten. De reden hiervoor zijn zogenaamde ‘dependencies’. Vaak is één module afhankelijk van een bepaalde versie van een andere module. Als je veel updates moet uitvoeren, is het bijzonder complex om alles in de juiste volgorde te laten verlopen.
Omdat het risico zo groot was, hebben we besloten om tientallen websites een gratis (soms arbeidsintensieve) update te geven. Hiermee willen we nogmaals wijzen op het belang van updates. Enkel zo kunnen we garanderen dat een website 100% veilig is en vlot werkt.
Wat met die ene site die door de mazen van het net geglipt was?
Die was jammer genoeg de volgende ochtend gehackt… Jawel, zo snel gaat dat! Ons monitoringsysteem had het gelukkig snel opgemerkt, waarna we meteen een back-up teruggeplaatst hebben en de nodige beveiliging toegevoegd hebben. Eind goed, al goed!
Hoe ziet een gehackte site eruit?
Meestal zie je dat niet eens. Gehackte websites worden gebruikt om spam te versturen, andere sites aan te vallen, virussen en ander onheil te verspreiden… Hoe langer de site gehackt is, hoe meer ze kan misbruikt worden. Daarom zien de meeste gehackte sites eruit als een perfect werkende website.
Onze monitoringsoftware zoekt constant naar tekenen van misbruik. Gehackte sites worden gemeld en dan wordt er actie ondernomen, bv. verhinderen dat er nog mails verstuurd worden.
Moet ik me zorgen maken over open source?
Bij open source software zoals Drupal worden beveiligingsproblemen altijd (en zonder uitzondering) bekend gemaakt van zodra ze ontdekt worden. Dat kan ook niet anders: de code is vrij beschikbaar en iedereen kan op zoek naar beveiligingsproblemen.
Als er een probleem is, kom je het dus vrij snel te weten. Dat is een vloek en een zegen tegelijk. De vloek is dat de community niets onder de mat kan schuiven. De zegen is dat veiligheid erg hoog op de agenda staat en problemen vaak worden ontdekt door vrijwilligers, nog voor malafide personen dat doen.
Een website die niet ‘mee’ is met updates, dat is in feite vragen om problemen. Een paar jaar geleden kon het nog een tijdje duren voor een onveilige site ten prooi viel aan misbruik. Tegenwoordig is het slechts een kwestie van uren…
Het is dus erg belangrijk om je site regelmatig te laten updaten door je webbouwer.
Heb je zelf een Drupal website en ben je niet zeker of ze veilig is? Dan bekijken we dit graag samen! We stellen een plan van aanpak op en zorgen ervoor dat je snel weer op beide oren kan slapen.
Heb je vragen of wil je meer informatie over updates en beveiliging van je website? Contacteer ons via info@3SIGN.com of bel ons op 09 218 94 20.