mboost-dp1

Drupal Association

Drupal.org ramt af sikkerhedsbrist

- Via Drupal - , redigeret af Pernicious

Drupal er et gratis open-source content management framework (CMF), og bruges som bagvedliggende system på en stor del af verdens hjemmesider. Således gør mindst 2,1 % af alle verdens hjemmesider brug af Drupal, hvilket dækker alt fra private blogs, til hjemmesider for større virksomheder, organisationer og offentlige instanster som Det Hvide Hus og data.gov.uk.

Deres mange brugere har dog netop får tilsendt en mail fra holdet bag Drupal, med vigtig information om et brud på deres sikkerhed. Hackere havde præsteret at installere skadelige filer på association.drupal.org, gennem en applikation brugt på siden, hvilken gav dem tilgang til forskellige oplysninger omkring sidens brugere.

Folkene bag Drupual forsikrer, at det ikke har været et hul i selve Drupal, som er skyld i indtrængenden, men har kun ramt Drupal.org og groups.drupal.org, og derfor ikke andre hjemmesider som kører Drupal.

Hackere har dog fået adgang til brugernes kontonavne, e-mail-adresser, lokalitet og en hashede udgave af brugernes koder. Undersøgelser er dog stadig igang for at klarlægge, hvor hårdt ramt drupal.org har været, og om hackerne har fået andre følsomme informationer fra hjemmesiden. Drupal forsikrer dog brugerne, at koder har været hashed og salted, mens ældre koder på visse undersider kun har været hashed.

Indtil videre er alle koder dog blevet nulstillet, således man skal skifte ens kode, hvis man prøver at logge på. Derfor anbefaler de, at man bruger tre beskrevne trin til at registrere en ny kode.





Gå til bund
Gravatar #1 - mfriis
31. maj 2013 05:58
Hvis jeg som ejer af et drupal site læste det her ville jeg nok genoverveje min holdning til at tvinge mine brugere over på en OAuth provider.

Hvis dem der laver mit CMS har dette problem så vil jeg som website ejer uden tvivl også kunne komme ud for det.

Er enkelte sure brugere som hverken har en google/amazon/facebook/twitter/reddit/linkedin osv osv (http://en.wikipedia.org/wiki/OAuth#List_of_OAuth_service_providers) virkelig en negativ nyheds historie om min virksomhed værd?

Som bruger stoler jeg meget mere på at Google eller Twitter har styr på sikkerheden, har kompetencerne blandt deres ansatte og følger op på sikkerheden løbende end FinnysSexShop.dk (eller for den sags skyld Newz.dk)

Et website bør gøre det de er bedst til. Hvis det er at sælge legetøj til hellerup fruer så bør de ikke udvikle deres eget CMS, eksperimentere med databaser, hoste i kælderen og ej heller opbevare og håntere bruger konti.

Drupal er uden tvivl gode til at udvikle et CMS system og det skal de bare fortsætte med. Men måske de skulle overveje at ligge deres identity modul om til at kræve en OAuth provider.
Gravatar #2 - egil
31. maj 2013 09:56
Jeg synes det er væsentligt at i retter overskriften, så der ikke står "Drupal" men Drupal.org. Det her har jo intet med Drupal CMS'et at gøre.

Har indsent en rettelse.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login