mboost-dp1

Drupal

Journalisten.dk ramt af alvorlig sikkerhedsfejl

- Via Computerworld DK - , redigeret af Pernicious , indsendt af Jens Møller Nielsen

Fagbladet Journalisten, der primært henvender sig til alle folk ansat i pressen, oplevede i går en alvorlig sikkerhedsfejl på deres hjemmeside, journalisten.dk, som betød, at alle besøgende havde administrator-rettigheder i sidens CMS-system, det velkendte open source-system Drupal.

Computerworld kan berette om deres oplevelse med fejlen, der skulle have givet den pågældende besøgende adgang til at skrive artikler, ændre på sidens opsætning, ændre rettigheder for sidens brugere og meget andet.

Ifølge en sikkerhedsekspert fra firmaet FortConsult er problemet opstået, fordi Drupal af hidtil ukendte årsager har uddelt cookies til alle besøgende, hvori der gives tilladelse til administratordelen. Det frygtes derfor også, at problemet ikke begrænset til Journalisten.dk men til alle Drupal-baserede CMS’er.

Følg linket for at se et screenshot af admin-menuen hos Journalisten.dk.

Update: Fejlen skyldtes et disknedbrud hos Gigahost, hvorefter genskabelsen af filerne førte til fejl i systemet, der åbnede op sårbarheden. Drupal må derfor betegnes som uforskyldt i denne sag. Læs mere hos Computerworld.





Gå til bund
Gravatar #1 - nielsbrinch
9. okt. 2008 11:48
sikkert sådan en:

if (administrator);
{
SetAdministratorCookie();
}

(bemærk den snedige semikolon efter if'en)
Gravatar #2 - HydrA
9. okt. 2008 11:55
Værre bliver det altså ikke når enhver person har adgang til administrator-panelet i en CMS :P
Gravatar #3 - CableCat
9. okt. 2008 11:57
Er det ikke bare en wiki nu?
Gravatar #4 - tomsommer
9. okt. 2008 12:06
Forklaringen lyder lidt langt ude - mon ikke bare de har glemt at opdatere Drupal? Skulle være lidt mærkeligt hvis nogen har fundet et enormt avanceret og ukendt sikkerhedshul i Drupal og brugt det til at få adgang til journalisten.dk - så er der vel bedre ting at angribe. Eller også sidder der en programmør et sted og er rimelig træt af det lille hack han lavede som han troede var en solid løsning.

Remember to update, kids!
Gravatar #5 - Pephers
9. okt. 2008 12:07
gyxi (1) skrev:
sikkert sådan en:

if (administrator);
{
SetAdministratorCookie();
}

(bemærk den snedige semikolon efter if'en)

Hehe, derfor skriver jeg altid min kode således:

if (administrator) {
SetAdministratorCookie();
}

Så er det i hvert fald nemmere ikke at komme til at lave et forkert semicolon, synes jeg :)
Gravatar #6 - mhartvig
9. okt. 2008 12:57
Kan godt være det lyder dumt, men....... Nej vent -det er ikke et dumt forslag:

Hvoffor fanden tjekker de ikke brugernes rettigheder ved hver sideindlæsning (specielt på admin siden!!!)

(eller hvoffor tillader de overhovedet en cookie at bestemme om man er admin)

lol:D
Gravatar #7 - tomsommer
9. okt. 2008 13:04
Der er kommet en forklaring her: http://www.computerworld.dk/art/48372/disk-nedbrud...

Disknedbrud hos Gigahost, igen igen igen.

Lyder mere rimeligt, men det er kritisabelt at sessionerne kan tildeles forkert på den måde.
Gravatar #8 - ipwn
9. okt. 2008 13:26
Og derfor bruger man ikke cookies til administration :)

Så hellere logge på hver gang man kommer til siden, end at have cookies der automatisk giver rettigheder.
Gravatar #9 - Windcape
9. okt. 2008 14:17
Nu skal man jo, medmindre man benytter filsystem authentication, bruge en cookie.

Dog burde en cookie kun være en refference til hvem der er online, og ikke personens rettighedsniveau.

Lyder somon at Drupal's brugersystem er elendigt.
Gravatar #10 - SmackedFly
9. okt. 2008 14:28
#9

Tvivler jeg nu også på det er, medmindre drupal kræver at man erhverver sig en ny cookie når man får sit rettighedsniveau ændret.

Jeg synes måske du skulle læse koden inden du hopper på drupal, der er mange måder den her historie kan være misvisende på. Uden på nogen måde at sige at jeg tror drupal er kvalitet iøvrigt...

Det er klart at ingen med lidt mentalt overskud ville designe et system hvor man ikke kan tilbagekalde administratorrettigheder før cookies udløber (uden at bruge underlige hacks)
Gravatar #11 - mew
9. okt. 2008 17:34
OT.
Jeg tror der er for lidt sensation i dette indlæg, til vi kan tage det alvorligt.
Gravatar #12 - Krissam
9. okt. 2008 23:18
#1 så er man da for blank hvis man laver sådan en fejl.
Gravatar #13 - simsevu
10. okt. 2008 06:46
Helt ærlig, at bruge Gigahost til noget der bare nærmer sig en seriøs sider er da lidt latterligt?

Brug da et ordenligt hosting firma, få evt. en dedikeret server el. lign, det der holder jo hat.
Gravatar #14 - Windcape
10. okt. 2008 18:29
SmackedFly (10) skrev:
Jeg synes måske du skulle læse koden inden du hopper på drupal, der er mange måder den her historie kan være misvisende på. Uden på nogen måde at sige at jeg tror drupal er kvalitet iøvrigt...
Jeg kender til Drupal og deres programmerings-standarder.

Det er dybt horribelt, systemet er bygget af prototype på prototype, mangler et grundlæggende kodedesign, og lider of klassike fejl baseret på mangler i PHP som udviklingsmiljø.

Det ville på ingen måde overraske mig hvis deres authlevel system var elendigt også.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login