16.10.2014 admin

Drupal je softwarový balík s otevřeným kódem, který poskytuje systém pro správu obsahu (CMS) pro webové stránky, používá ho přes 1 milión webů. V popularitě je na třetím místě za Wordpressem a Joomlou.

Bezpečnostní tým Drupalu vydal nedávno pro své uživatele bezpečnostní zprávu o možnosti útoku SQL injection přímo v jádře Drupalu. Znamená to možnost napadení databáze vsunutím modifikovaného SQL dotazu pomocí předaných dat od uživatele (resp. hackera nebo spíše průnikových robotů). Útočník má pak možnost převzít správu vašich stránek, může z vašeho webu hromadně rozesílat spam, ukrást osobní informace nebo v může instalovat tzv. backdoor, zadní vrátka.

Bezpečnostní zpráva DRUPAL-SA-CORE-2014-005 z 15. října 2014 hovoří o vysoce kritické zranitelnosti a uživatelé jsou vyzváni k okamžité aktualizaci své webové stránky na Drupal 7.32 do sedmi hodin od oznámení zranitelnosti. Zpráva upozorňuje, že aktualizace se týká opravy bezpečnostní chyby, neřeší však problém napadených webů.

Co s tím? Měli byste postupovat za předpokladu, že každý web s Drupalem 7 byl ohrožen, nebyl-li aktualizován do sedmi hodin po oznámení. Bezpečnostní tým Drupalu doporučuje, abyste stránky nastavili offline, smazali všechny soubory a databáze, obnovili vše ze zálohy provedené před 15. říjnem a před uvedením webu zpět online provedli aktualizaci. Místo "režimu údržby" je účinnější dočasně odstranit Drupal (smazat index.php) a nahradit ho statickou HTML stránkou.

Veškerý software má chyby zabezpečení a Drupal není výjimkou. Podle studie WhiteHat Security má vážnou zranitelnost 86% webových stránek na různých platformách a to jak s otevřeným zdrojovým kódem, tak patentovaných. Mnoho projektů neřeší bezpečnost vůbec nebo jen na velmi nízké úrovni.

Drupal je jedním z nejbezpečnějších CMS, protože se bezpečnosti věnuje systematicky. Drupal vývojáře doplňuje „bezpečnostní tým“ složený z několika desítek odborníků na bezpečnost. Bezpečnostní tým ověřuje podezření na možné bezpečnostní problémy, navrhuje jejich řešení a pravidelně vydává bezpečnostní aktualizace.