Reactie Stichting Drupal Nederland op recente berichtgeving over beveiligingsrisico’s

Op donderdag 17 januari 2019 plaatste de website security.nl een artikel met als titel “Ernstige Drupal-lekken laten aanvaller websites overnemen”. Naar mening van Stichting Drupal Nederland (SDN) doet deze titel de situatie ernstiger lijken dan deze is. In de tekst van het artikel wordt deze toonzetting voor ons gevoel ook niet genuanceerd.

Beveiligingsproblemen zijn vaak aanleiding voor gebruikers om zich zorgen te maken. Terecht, maar de situatie is niet altijd ze ernstig als die wordt voor gedaan. Met betrekking tot het beveiligingsproblemen genoemd in het voornoemde artikel, kan SDN melden dat het probleem niet zo ernstig is als het lijkt.

De zogenaamde security advisories die het Drupal Security Team heeft uitgegeven laten zien dat er een zeer uitzonderlijke combinatie van modules en configuraties nodig is voordat het lek zich voordoet (in geval van gebruik van de third-party PEAR Archive_Tar library) of dat het exploiteren van het lek zeer complex is (bij de mogelijkheid tot uitvoeren van willekeurige PHP-code).

De open source gemeenschap rond Drupal heeft veiligheid hoog in het vaandel staan. Ondanks dat het risico minder hoog is dan het artikel op security.nl suggereert, adviseert Stichting Drupal Nederland alle Drupal-gebruikers om altijd de beschikbare updates uit te voeren en om beveiligingspatches altijd zo snel mogelijk toe te passen. Een groot deel van de Nederlandse Drupal-leveranciers zal dit automatisch doen voor haar klanten.

Meer informatie over de gemelde problemen en de mogelijke oplossingen is te vinden op https://www.drupal.org/sa-core-2019-001 en https://www.drupal.org/sa-core-2019-002 (Engelstalig). Stichting Drupal Nederland is de brancheorganisaties die Drupal gebruikers en  bureau’s verbindt.