Op 15 oktober werd door het Drupal security team bekend gemaakt dat er een ernstig lek in Drupal 7 was ontdekt. Gebruikers van het Drupal CMS werd aangeraden om zo snel mogelijk hun systemen te updaten omdat het lek door iedereen vanaf het internet te misbruiken is. Op donderdag 29 oktober heeft het Drupal security team met een public service announcement nogmaals het belang van adequate informatiebeveiliging onderstreept.
Met dit "public service announcement" wijst het team alle gebruikers van het Drupal CMS nogmaals op de verantwoordelijkheid ervoor te zorgen dat op Drupal gebaseerde systemen niet door kwaadwillenden misbruikt kunnen worden. Helaas moeten gebruikers en leveranciers daarbij nu van het slechtste scenario uitgaan: dat het systeem bij niet onmiddellijk updaten al door kwaadwillenden is bezocht en dat het systeem nu dus niet meer veilig is.
Op 16 oktober rond 01:00 uur Nederlandse tijd, ongeveer 7 uur na de aankondiging, werden de eerste gecoördineerde aanvallen op websites met het Drupal CMS gedetecteerd. De snelheid waarmee een nieuw beveiligingslek wordt misbruikt, toont aan hoe georganiseerd kwaadwillenden te werk gaan. Dat geldt helaas voor alle apparaten en software die via het internet in verbinding staan, niet alleen voor websites met het Drupal CMS.
De Drupal community heeft veiligheid hoog in het vaandel. Het Drupal security team bestaat dan ook uit bijna 50 personen. Ter vergelijking, dit is evenveel als het voltallige personeelsbestand van een grote Nederlandse 'closed source' CMS leverancier.
Het voordeel van open source is dat ook beveiligingslekken voor iedereen zichtbaar aan het licht komen. Die openheid kan pijn doen, zoals nu voor Drupal het geval is, maar die openheid zorgt er voor dat de fouten opgelost moeten worden en niet ontkend kunnen worden. Het probleem is voor iedereen inzichtelijk, maar de oplossing is óók voor iedereen beschikbaar én controleerbaar.
De meeste Nederlandse Drupal leveranciers hebben direct actie ondernomen en daarbij de onder hun verantwoordelijkheid vallende websites bijgewerkt en gecontroleerd op misbruik.
Met de "public service announcement" van 29 oktober roept de Drupal community nogmaals iedereen op zijn of haar verantwoordelijkheid te nemen en zo snel mogelijk alle systemen te controleren en te updaten zodat er geen misbruik van gemaakt kan worden. Veiligheid voorop.
Wilt u zeker zijn dat uw website bijgewerkt is? Neem dan contact op met uw leverancier of beheerpartij.
Heeft u vragen over dit lek of de werking van het Drupal Security Team? Neem dan contact op met:
Heine Deelstra
Lid en voormalig lead van het Drupal security team,
hdeelstra@gmail.com
Heeft u vragen over Drupal en de Drupal community? Neem dan contact op met:
Frank Schaap
Secretaris van Stichting Drupal Nederland,
http://www.stichtingdrupal.nl
bestuur@stichtingdrupal.nl
Heeft u vragen over Drupal leveranciers in Nederland? Neem dan contact op met:
Michel van Velde
Secretaris van Stichting Drupal Bedrijven Nederland,
http://www.sdbn.nl
contact@sdbn.nl
Deze website is voor Nederlandstalige Drupal-fans en wordt onderhouden door een groep Belgische en Nederlandse vrijwilligers. Iedereen kan meewerken aan deze site.
Fouten of onjuistheden kun je melden melden via het forum
De site draait op Drupal 7 en wordt gehost door Pantheon.
Drupal is een geregistreerd merk van Dries Buytaert. | Powered by Pantheon.
Drupal.be/Drupal.nl is de website van de Nederlandstalige Drupalgemeenschap.
