A equipa de desenvolvimento da Drupal remendou a vulnerabilidade drupalgeddon2 que podia ser aproveitada de tal forma por um atacante, que este conseguia tomar total controlo do website para o quem bem entende-se.

A equipa de segurança da Drupal confirmou o lançamento do patch da vulnerabilidade classificada como CVE-2018-7600, que afetava as versões 7 e 8 do Drupal. Este patch foi lançado no dia 28 de março.

Esta vulnerabilidade foi identificada pelo developer Jasper Mattsson da Drupal.

Ambas as versões Drupal 8.3.x e 8.4.x não são suportadas, mas devido à gravidade da falha, a equipe de segurança do Drupal decidiu abordá-las com atualizações de segurança específicas.

 

A equipa de desenvolvimento do Drupal corrigiu a vulnerabilidade que podia ser explorada por um atacante remoto. De notar que o atacante podia tirar partido da vulnerabilidade e “aceder” a um site apenas clicando numa URL.

 

O  CMS Drupal é muito popular e é atualmente utilizado por mais de um milhão de sites, é o segundo sistema de destão de conteúdo mais popular logo atrás do WordPress.

Pede-se aos administradores dos websites que atualizem imediatamente os seus sistemas para as versões Drupal 7.58 ou o Drupal 8.5.1.

Esta falha foi apelidada de Drupalgeddon2 após a vulnerabilidade de segurança CVE-2014-3704 Drupalgeddon que foi descoberta em 2014 e que foi explorada em inúmeros ataques bem sucedidos.

A boa notícia é que, na época, não havia nenhum código público de prova de conceito disponível on-line.

The Drupal security team declared that it was not aware of any attacks exploiting the Drupalgeddon2 vulnerability in the wild.

“A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentially allows attackers to exploit multiple attack vectors on a Drupal site, which could result in the site being completely compromised.” reads the security advisory published by Drupal.

“The security team has written an FAQ about this issue. Solution:

Upgrade to the most recent version of Drupal 7 or 8 core.

  • If you are running 7.x, upgrade to Drupal 7.58. (If you are unable to update immediately, you can attempt to apply this patch to fix the vulnerability until such time as you are able to completely update.)
  • If you are running 8.5.x, upgrade to Drupal 8.5.1. (If you are unable to update immediately, you can attempt to apply this patch to fix the vulnerability until such time as you are able to completely update.)”

 

A correção desta vulnerabilidade é essencial. De notar que a própria página do Drupal foi retirada alguns minutos do ar (cerca de 30 minutos) para correção da drupalgeddon2.