Vandaag bracht het Drupal Security Team een erg belangrijke patch uit om een uitzonderlijk gevaarlijk beveiligingslek in Drupal 7 Core te dichten https://www.drupal.org/SA-CORE-2014-005. Door dit lek kunnen inbrekers onder andere de admin gebruikersnamen en paswoorden veranderen. Het is uitermate belangrijk je Drupal 7 websites zo spoedig mogelijk te corrigeren, want er zijn al hacking scripts in omloop.
Dat kan ofwel door te updaten naar 7.32 ofwel door de patch/fix te installeren.
De patch is erg simpel, je hoeft slechts 1 lijntje te vervangen in includes/database/database.inc en je website is weer veilig: rond regel 736 de lijn:
foreach ($data as $i => $value) {
vervangen door:
foreach (array_values($data) as $i => $value) {
Dit probleem komt niet voor in Drupal 6 sites behalve als je de https://www.drupal.org/project/dbtng module gebruikt.
Als je al Drupal 8 beta sites zou publiek hebben (niet aan te raden), dan dient ook daar de patch te worden toegepast: http://cgit.drupalcode.org/drupal/commit/?id=19b32a3 of een update gedaan naar 8.0.0-beta2 of hoger.
Om meteen op de hoogte gebracht te worden van beveiligingsupdates van Drupal schrijf je je best in op de Security mailinglist. Dat kan via je profielpagina op www.drupal.org. Meer info op https://www.drupal.org/security.
Update: Lees verder op http://drupal.be/forum/voor-drupal-staat-veiligheid-voorop
Deze website is voor Nederlandstalige Drupal-fans en wordt onderhouden door een groep Belgische en Nederlandse vrijwilligers. Iedereen kan meewerken aan deze site.
Fouten of onjuistheden kun je melden melden via het forum
De site draait op Drupal 7 en wordt gehost door Pantheon.
Drupal is een geregistreerd merk van Dries Buytaert. | Powered by Pantheon.
Drupal.be/Drupal.nl is de website van de Nederlandstalige Drupalgemeenschap.
En een update voor CKEditor, die gebruikt ook bijna iedereen, toch? Zie: https://www.drupal.org/node/2357029. Het gaat alleen om de Drupal CK Editor module, niet om de library. Pas op dat je bij een update de library behoudt of opnieuw download.
-----
Met vriendelijke groet,
Hans Kuiters
BE-WEB
Voor mensen die nog nooit een core-update gedaan hebben, een tijd geleden heb ik voor mijn cursisten een filmpje gemaakt met daarin een hele simpele methode om uw Drupal te updaten: http://youtu.be/ul1jGCEymhM?t=6m57s
Hopelijk hebben enkele bezoekers daar wat aan.
Goede uitleg Peter, niet alles hoeft via Drush. Maar naar mijn idee is je uitleg iets te kort door de bocht. Bij distributies wordt de map profiles gebruikt, dus niet zomaar overschrijven. Verder is het van belang een backup te maken van zowel de bestanden als de database alvorens een update te doen. Bedenk ook dat updaten via FTP langer duurt dan een lokale update. De site zal in die tijd niet bereikbaar zijn of foutmeldingen tonen. Een optie is de site in onderhoudsmodus te zetten op de pagina admin/config/development/maintenance. Dit zijn zaken die ervaren Drupal ontwikkelaars wel weten, maar ik wilde ze toch even noemen voor de minder ervaren bezoekers.
-----
Met vriendelijke groet,
Hans Kuiters
BE-WEB
Bedankt voor je feedback. Dit filmpje is niet echt representatief voor professionele users; doelgroep is in dit geval studenten die op MAMP/Xampp omgeving werken. Eerder in het filmpje laat ik ze ook een backup maken door te 'zippen' en via 'backup and migrate' een dump te maken.
Misschien dat ik nog wel eens een andere versie opneem
Ik kreeg zojuist het verzoek een Drupal 7.0! site te updaten. Kan dit direct naar 7.32? Ik ga dit uiteraard eerst in een testomgeving doen, maar als iemand weet dat er een tussenstap met een bepaalde versie nodig is, is dit handig om te weten. Alvast bedankt.
-----
Met vriendelijke groet,
Hans Kuiters
BE-WEB
Ja je kunt Drupal core van 7.0 gewoon updaten naar 7.32 zonder tussenstappen. Het is wel best dat je alle contrib modules dan ook update zodat die in overeenstemming zijn met de laatste core.
Hans
KOBA
Bedankt Hans. Inmiddels lokaal uitgevoerd, ging goed. Diverse contrib hadden gewijzigde settings. Blijft nog over de Domain Access module, van 2.x naar 3.x. Komt vast goed, de instructies op de projectpagina lijken duidelijk.
-----
Met vriendelijke groet,
Hans Kuiters
BE-WEB
Hallo, ik heb een vraag over bovenstaande security update. Ik heb mijn drupal core update gedaan op 16-10-2014, 2pm, een dag na de dringende announcement van de security update. Begrijp ik nu goed dat mijn website compromissed is omdat ik niet binnen 6 uur mijn drupal core ge-update heb? Tot op heden heb ik geen rariteiten ontdekt, geen nieuwe gebruikers etc. Ik weet nu niet of ik inderdaad mijn gemaakte back up op 16-10-2014 moet gaan restoren van voor 15-10-2014? Wat is jullie advies?
Arnoud Logger
7 uur na de aankondiging werden de eerste automatische hacking scripts vastgesteld. Dit betekent dat ze vanaf dan met zekerheid het internet aan het aflopen waren met automatische inbraken. Het is uiteraard niet mogelijk dat hackers al bij alle Drupal websites van de wereld waren gepasseerd 7 uur na de aankondiging, dus niet alle sites die daarna werden geupdated werden ingebroken, maar het is sterk aan te raden je website grondig te controleren om zeker te zijn. Hoe langer je hebt gewacht hoe meer kans er is dat er ondertussen een script is gepasseerd en er is ingebroken. Zeker als je op dit ogenblik nog geen update hebt gedaan. Het is dus belangrijk te noteren dat het doen van de update niet de eventuele inbraken die ondertussen al zijn gebeurd oplost.
Hans
KOBA
Hallo Hans,
Hartelijk dank voor je reactie. Ik heb dus 's middags 16-10 alleen Drupal core ge-update maar geen patch gedaan. Ik heb de announcement voor de patch gemist. Begrijp ik goed dat de patch niet hoeft als de core ge-update is? Welke methoden zijn er dan om mijn website grondig te controleren? Nogmaals dank!
MVG Arnoud
Arnoud Logger
Als je hebt geupdated naar Drupal 7.32 dan hoef je de patch niet meer te installeren, want die zit daar in. De patch is enkel als je geen tijd hebt om de update te doen (bijvoorbeeld als je veel sites hebt) en een snelle fix wil doen.
Om te controleren op inbraken kun je volgende artikels lezen:
- https://www.acquia.com/blog/learning-hackers-week-after-drupal-sql-injection-announcement
- https://modulesunraveled.com/blog/how-restore-your-hacked-site
- https://www.drupal.org/node/2357241 (de comments)
- http://drupal.geek.nz/blog/your-drupal-websites-backdoor
- https://gist.github.com/joshkoenig
Verder kun je volgende modules gebruiken om de site te onderzoeken:
- https://www.drupal.org/project/drupalgeddon
- https://www.drupal.org/project/site_audit
- https://www.drupal.org/project/hacked
- https://www.drupal.org/project/security_review
Hans
KOBA
Hoi Hans, Ik heb https://modulesunraveled.com/blog/how-restore-your-hacked-site gedaan en zie geen files. Ik kan voor de zekerheid een back up plaatsen van voor 15-10 maar dat heb ik wel wat werk om de site weer up to date te krijgen.
Nogmaals dank voor je hulp en advies!
MVG
Arnoud
Arnoud Logger
Discussie over automatische upgrades in de toekomst:https://www.drupal.org/node/2367319
Hans
KOBA
Ik heb een vraagje ivm de patch, is dit voldoende genoeg om beveiligd te zijn tegen eventuele hacks?
Ik zou voor de patch kiezen aangezien ik voorlopig niet veel tijd heb om de volledige update door te voeren.
Alvast bedankt :)
De dringend te installeren patch was voldoende enkele weken geleden, ondertussen is er heel veel kans dat er al ingebroken is in je website en moet je de inbraak opkuisen wat veel werk kan zijn of beter je site terugzetten naar een backup van voor 15 oktober.
Hans
KOBA
ik vrees dat één van mijn sites is aangetast, na de installatie van de module node-export was er een administrator "mohamed" toegevoegd in mijn site, ik heb deze onmiddellijk verwijderd maar blijkbaar was dat niet voldoende. Ik zie in de logberichten dat vanaf 19/12 21:23h tot 20/12 12:32h een anonieme gebruiker om de 5' tracht in te loggen , telkens toegang geweigerd. Ik heb destijds de update tijdig gedaan en mijn website werkt nog, enkel bij het beheer personen zit ik met een probleem. Als ik deze open komt in mijn balk volgende vermelding http://www.riadargane.net/user#overlay=nl/admin/people, als ik dan een administrator wil bewerken krijg ik het volgende http://www.riadargane.net/nl/user/45/edit?destination=admin%2Fpeople&. Is er nog iemand die dit heeft voorgehad? Is er een eenvoudige oplossing of kan ik beter opnieuw beginnen?
Als iemand een administrator kan aanmaken op je site zit er duidelijk een lek in, dan volstaat het niet die administrator te verwijderen want dan kan dat nog gebeuren.
Dat een anonieme gebruiker om de 5 minuten probeert in te loggen is niet zo erg, dat kan gewoon een spamrobot zijn.
Ik denk niet dat er een eenvoudige oplossing is, je moet zowel files als database als server controleren en voor een kleine site is dat vaak meer werk dan gewoon je theme te behouden en een paar uur alles te copypasten in een nieuw gemaakte Drupal. Het is zeker meer dan een paar uur werk om alles grondig te onderzoeken.
Hans
KOBA