Beheer

Security
patch

Drupal maakt methode van updaten veiliger

De ontwikkelaars van contentmanagementsysteem Drupal nemen kritiek over de onveiligheid van het updateproces ter harte: de updates worden in snel tempo versleuteld.

© CC0 - Pixabay ElasticComputeFarm
13 januari 2016

De ontwikkelaars van contentmanagementsysteem Drupal nemen kritiek over de onveiligheid van het updateproces ter harte: de updates worden in snel tempo versleuteld.

Fernando Arnaboldi luidde enkele dagen terug de noodklok. Drupal-updates worden via onversleutelde internetverbindingen gedistribueerd. En dat biedt hackers de kans om de bestanden ongemerkt te wijzigen, vooral ook doordat Drupal kwetsbaar is voor cross-site forgery.

Het Drupal-team neemt momenteel maatregelen om  dat probleem te tackelen, ook al acht het de kans op een man-in-the-middle-aanval via cross-site forgery niet erg groot. Maar onversleutelde bestanden maken het lastiger dan nodig is om te waarborgen dat je de juiste bestanden downloadt, schrijven ze nu. Downloads via Drush, een shell- en scriptinginterface voor Drupal op basis van een commandoregel-interface, vinden nu plaats via SSL. Drush is daarmee de veiligste methode om te updaten. Download-links op projectpagina's staan nu standaard eveneens ingesteld op communicatie via SSL. Aan het aanpassen van de core-module voor het bijhouden van de updatestatus en de url's voor versiecontrole wordt gewerkt.

Meer informatie is te vinden in een post van Drupals beveiligingsteam op Drupa Groups.

 

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.