Hoppa till huvudinnehåll
Menu

Den här sidan använder cookies. Om du fortsätter använda sidan så accepterar du användandet av cookies. Läs mer om cookies

Jag förstår

Säkerhetshål i Drupal 7

Det nya säkerhetshål som nu har upptäckts av tyska PHP-konsulten Sektion Eins som gjorde en större audit på Drupal för en icke namngiven kund.

Ett nytt säkerhetsproblem har hittats i Drupal, detta löses genom att uppdatera till Drupal 7.32, som kan laddas ned ifrån drupal.org - https://www.drupal.org/download.

Det nya säkerhetshål som nu har upptäckts av tyska PHP-konsulten Sektion Eins som gjorde en större audit på Drupal för en icke namngiven kund. Vad man hittade var att så kallade SQL-injektioner kunde göras av anonyma användare under vissa omständigheter, vilket är ett stort säkerhetsproblem.

Med SQL-injektioner mot en icke uppdaterad version av Drupal 7 kan man exekvera php-kod, ändra databasen, eller till och med radera den helt. Säkehetsproblemet beskrivs utförligt av Sektion Eins på deras webbplats, och mer information om uppdateringen kan läsa på drupal.org.

Av den granskning som har gjorts av Sektion Eins kan ytterligare säkerhetsuppdateringar komma in kort tid, det kan vara contrib-moduler, och det kan vara core. Och det här är bra, varje steg till ett säkrare system vinner vi alla på, och systemets öppenhet leder också till dess ökade säkerhet och stabilitet, men det kräver också att alla är medvetna om hur man arbetar säkert med Drupal.

Säkerhet är en process och i proprietär mjukvara liksom i öppen så hittar man säkerhetsproblem över tid. Skillnaden mellan öppen och properitär mjukvara ligger i hanterandet kring dessa säkerhetsproblem. I öppen programvara, som Drupal, berättar vi officiellt om problemen och lösningarna på dem. Det har flera för- och nackdelar.

När någon upptäcker något som kan vara en säkerhetsbrist i Drupal så rapporterar man det normalt sett till säkerhetsteamet, som sedan tittar på det och vidtar de åtgärder som behövs, och om säkerhetsbristen verkligen existerar tar man fram och arbetar med en patch som ska lösa problemet. När det är klart skapas en ny version av Drupal (ex. 7.32), och man berättar om det genom att annonsera det på epostlistan för säkerhetsuppdateringar om Drupal (man kan gå med i denna genom att registrera ett konto på drupal.org och välja att gå med i epost-listan i sin profil). Innan dess sker allt bakom stängda dörrar för att crackers inte lätt ska få tillgång till informationen.

I samband med att man släpper en ny version av Drupal så berättar man också i vari säkerhetsproblemet ligger, och faran med det. Det positiva är att man relativt direkt kan göra något åt säkerhetsproblemen, om man är alert, det negativa är att nu har crackers information om hur en webbplats kan knäckas, och de kan kanske komma åt känslig information eller system.

En stor fördel ur vår synvinkel är att med öppen programvara så är det mindre risk att säkerhetshål finns i koden, då det i Drupals fall är tusentals ögon som har gått igenom koden, när det är stängd kod så är det oftast bara en handfull som gjort det. Problemet som uppstår i fallet med öppen källkod väger för vår del klart över till dess fördel. Wikipedias artikel om stängd programvara tycker jag utreder denna fråga bra från vårt perspektiv.

Några frågor och svar om Drupal och säkerhet

Måste jag uppdatera Drupal nu?

Ja, om du har Drupal 7, då detta säkerhetshål är så allvarligt att samtliga installationer behöver uppdateras. 

Vem eller vilka har hand om säkerheten i Drupal?

Drupal har en stor grupp som hanterar säkerhetsfrågor i Drupal core och i contrib-moduler, hela gruppen av medlemmar hittar man på https://security.drupal.org/team-members, vissa av medlemmarna arbetar med säkerhet i Drupal på betald arbetstid, andra på sin fritid, vissa både och. Men säkerheten i Drupal är det viktigt att vi alla som arbetar med Drupal är medvetna om, när vi skriver egen kod och hur vi använder contrib-moduler. det är coskå viktigt att vi företag som arbetar med Drupal ser till att vi bidrar till ökad säkerhet. Mer om säkerhetsteamet kan läsas på deras sida på drupal.org.

Är alla Drupal releaser säkerhetsreleaser?

Nej. Flera av de releaser som görs är buggfixar, men säkerhetsreleaser kommer relativt ofta, och därför är det viktigt att ha koll på när dessa kommer.

Är öppen programvara osäkrare än stängd?

Nej, och stängd är inte osäkrare än öppen. Säkerhet beror på hur det hanteras, inte om det är öppen eller stängd programvara. Det finns många som menar att det ena eller andra är säkrare, och det kan nog diskuteras lika mycket som vilket operativsystem är bäst, eller vilken hamburgare som är godast.

Vi hjälper dig nå resultat. Kontakta oss Ring direkt på 08-20 90 04.

Ingen fara med säkerhetshål

Inga av våra kunder använde någon av de moduler som igår rapporterades ha säkerhetsproblem.
MDN

Säkerhetshål i contrib-moduler utannonseras i dag

I går fick vi en förhandsvarning om att det i dag kl 18 svensk tid kommer att släppas flera säkerhetsuppdateringar för ett p…
MDN

Att kvalitetssäkra koden i våra projekt

Vi arbetar dagligen i såväl stora som mindre projekt för helt olika typer av kunder. En fördel är att vi hela tiden lär oss …
MDN