'Dat Drupal zegt dat je up-to-date bent, betekent niets'

Arnaboldi's conclusie: wanneer het updatemechanisme faalt, bijvoorbeeld door een netwerkprobleem, reageert Drupal daarop met de melding dat alles actueel is. De waarschuwing die Drupal 6 in dergelijke situaties gaf, is in versies 7 en 8 kennelijk weggeprogrammeerd.

Daardoor kan een uitbater van een Drupal-website ten onrechte in de veronderstelling zijn, dat hij geen onnodige risico's loopt. Dat is geen prettige situatie bij een contentmanagementsysteem dat dankzij zijn populariteit ook een populair doelwit voor hackers is.

Meer problemen

Het ten onrechte aanmerken van een implementatie als up-to-date is slechts één van de problemen die Arnoboldi ziet. Het handmatige updateproces van Drupal blijkt ook kwetsbaar voor cross-site request forgery. Daardoor kan een aanvaller beheerders dwingen op updates te checken. In combinatie met het feit dat Drupal-updates onversleuteld, als leesbaar XML-bestand, worden verspreid, biedt dat aanvallers interessante aanknopingspunten, als ze zich toegang weten te verschaffen tot het netwerk waarin de computer met de Drupal-site draait. Versie 8 van Drupal is hier in zoverre beter tegen beveiligd, dat daarin het cross-site request forgery-lek is gedicht. Maar ook die versie blijft kwetsbaar voor manipulatie van het update-proces, aldus Arnobaldi.

Arnobaldi werkt zijn bezwaren uit in een blog. Eerder al opende hij hierover een discussie binnen de Drupal-gemeenschap. Kennelijk is hij ontevreden over de snelheid waarmee zijn bezwaren worden geadresseerd.