Kritická chyba v Drupal je dalším důvodem zavést automatické aktualizace jako má WordPress

15. října 2014 se na stránkách drupal.org objevilo oznámení o bezpečnostní hrozbě SA-CORE-2014-005, která byla označena jako vysoce kritická. Chyba v API umožňovala poslat speciálně upravený SQL dotaz, který umožňoval napadení redakčního systému (jedná se o útok SQLi – SQL injection). Trochu ironií je, že právě toto API mělo redakční systém chránit proti této hrozbě. Ohroženy byly všechny verze Drupal 7.x. Pokud používáte Drupal 7.32 tento problém se Váš už netýká.

Podle oficiálního vyjádření pokud jste neaktualizovali svůj Drupal do sedmi hodin, měli by jste jej považovat za kompromitován. Jedná se o jednu z nejvážnějších hrozeb, které tento oblíbený redakční systém musel zatím čelit. Naštěstí se nejčernější obavy nepotvrdily a nejsou hlášeny žádné rozsáhlé škody způsobené touto bezpečnostní chybou. V Česku se objevilo jen několik případů spamujících Drupalů.

Celkově se odhaduje, že Drupal pohání až pět procent stránek na internetu (ačkoliv některá měření uvádí poue procenta dvě). Jedná se tak o jeden z nejdůležitějších redakčních systémů na světě (momentálně vede WordPress na kterém funguje přes 20 procent webů). Ze všech Drupalů jich zhruba 65% – 84% využívá právě verzi 7. Teoreticky tak bylo ohrožené více jak 10 milionů webů na celém internetu.

Většinu útoků přitom neprovádí lidé. Útočníci si naprogramují roboty, kteří vyhledávají cíle a pak testují jejich obranu. Takovýchto robotů funguje velké množství a prakticky každý web se v závislosti na své velikosti s nimi pravidelně setkává. Nehledají jen konkrétní chyby, ale zkouší například zabezpečené formulářů anebo pomocí slovníkového útoku prolomit slabá hesla.

Vše je tak většinou o čase, kdo bude rychlejší. Ačkoliv aplikování bezpečnostního patchu je otázkou maximálně minut, nemusí být vždy administrátor přítomen anebo o nebezpečí vědět. V tomto případě stačilo, aby byl administrátor na dovolené anebo spal a sedm hodin je velmi málo času.

Řešením je automatická aktualizace. Ta u Drupal ovšem funguje jen pro rozšíření. Na samotné jádro systému se nevztahuje. Administrátor pouze uvidí varování. V tomto prozatím jednoznačně vede WordPress, který už automatickou aktualizaci jádra má. Dokonce si jí už několikrát vyzkoušel v rámci bezpečnostních záplat. Průběžně trvá aplikace bezpečnostních záplat několik hodin. Vývojáři však tvrdí, že v případě velmi naléhavého problému jsou schopni tuto dobu zkrátit na jednu hodinu.

Možná je čas, aby se tím Drupal inspiroval.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *