Er zijn updates uitgebracht voor Drupal versies 7.7, 8.8, 8.9 en 9.0. De updates bevatten een oplossing voor het volgende beveiligingsprobleem:

Drupal core – Critical – Remote code execution – SA-CORE-2020-012

Project: Drupal core
Date: 2020-November-18
Security risk: Critical 17∕25 AC:Basic/A:User/CI:All/II:All/E:Theoretical/TD:Default
Vulnerability: Remote code execution
CVE IDs: CVE-2020-13671

Description: Documented longer list of dangerous file extensions
Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations.

Oplossing:
Installeer de recentste versies

Versions of Drupal 8 prior to 8.8.x are end-of-life and do not receive security coverage.

Additionally, it’s recommended that you audit all previously uploaded files to check for malicious extensions. Look specifically for files that include more than one extension, like filename.php.txt or filename.html.gif, without an underscore (_) in the extension. Pay specific attention to the following file extensions, which should be considered dangerous even when followed by one or more additional extensions:

  • phar
  • php
  • pl
  • py
  • cgi
  • asp
  • js
  • html
  • htm
  • phtml

This list is not exhaustive, so evaluate security concerns for other unmunged extensions on a case-by-case basis.

Wat is Drupal?

Drupal is een in PHP geschreven, gebruiksvriendelijk en krachtig contentmanagementplatform, waarmee bijvoorbeeld websites kunnen worden gemaakt. Het is eenvoudig genoeg voor een beginnende gebruiker, maar krachtig genoeg om ook een wat complexere website te bouwen. Het programma bevat een contentmanagementplatform en een developmentframework.

Extra ondersteuning nodig? Wij kunnen u helpen.

Bij het afnemen van ons Website Onderhoud gaan wij uw website updaten en onderhouden. Alle gebruikte scripts en het CMS/CRM systeem en plug-ins/modules zullen dan de nieuwste versie geïnstalleerd krijgen zodat u minder gevoelig bent eventueel binnendringen van buitenaf en uw website niet misbruikt kan worden.
Bij kritieke beveiligingslekken zullen wij deze meteen naar de nieuwste versie bijwerken.

Voor vragen of wilt u meer informatie over deze dienst of om gebruik te maken van deze dienst, neemt u gerust contact met ons op via info@media31.nl

Kijkt voor u meer informatie over deze dienst op onze website: www.media31.nl/onderhoud

Drupal 9

Category
Tags

Comments are closed