CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

Kritik af opdateringer til populært CMS - udgør i sig selv en sikkerhedsrisiko

Drupals proces for sikkerhedsopdateringer udgør i sig selv en risiko for brugerne, advarer sikkerhedsekspert.

7. januar 2016 kl. 11.55
Kim Stensdal Kim Stensdal Teknologiredaktør

Selvom man i princippet bør sætte pris på hyppige sikkerhedsopdateringer til sit CMS, så kan netop opdateringsprocessen i sig selv udgøre en risiko.

Det skriver Fernando Arnaboldi fra sikkerhedsfirmaet IOActive i et blogindlæg, der handler om opdateringsprocessen i det populære open source CMS Drupal.

Der er nemlig en række sårbarheder, som it-krimindelle kan udnytte, advarer han.

De fleste web-folk er i dag godt klar over, at man skal opdatere hurtigst muligt, når en ny patch udsendes - for at sikre, at de aktuelle sårbarheder bliver lukket.

Fernando Arnaboldi kan dog fortælle, hvordan han selv blev forvirret, da han få dage efter at have opdateret til Drupal v7.39 bemærkede, at der nu også var en Drupal v7.41 tilgængelig.

Den daglige opdatering slog fejl på grund af en netværksfejl, skriver han, og forklarer, hvordan han i stedet valgte at tjekke for den seneste opdatering ved at klikke på et link manuelt.

"Dette link er værdifuldt for en angriber, fordi det kan bruges til at udføre et cross-site request forgery (CSRF)-angreb til at tvinge administratoren til at tjekke for opdateringer," skriver han om en af sårbarhederne.

"Da der er en CSRF-sårbarhed i ‘Tjek manuelt'-funktionen (Drupal 8 er den eneste, der ikke er ramt), kan det også udnyttes til et server-side request forgery (SSRF)-angreb mod drupal.org," lyder det videre.

Flere mangler kan skabe problemer

Fernando Arnaboldi uddyber problemstillingen hos Threatpost, hvor han fortæller, at opdateringsprocessen i Drupal er sårbar blandt andet fordi, at opdateringer ikke er krypterede, når de overføres, ligesom CMS'et heller ikke verificerer opdateringen.

En angriber vil kunne udnytte det til man-in-the-middle angreb, hvis han har adgang til samme netværk som ofret, lyder det fra sikkerhedseksperten.

Potentielt vil det kunne føre til, at angriberen kan stjæle Drupal-databasen med adgangskoder og eksekvere kode, skriver Threatpost, der også kan fortælle, at det er sårbarheder, der har eksisteret længe, og som der ikke findes nogen løsninger på.

CMS'er ofte ramt af sårbarheder

Det er langt fra kun Drupal, der bliver kritiseret for ikke at have godt nok styr på sikkerheden.

Blandt open source-systemerne er også Wordpress og Joomla ofte i ramt af sårbarheder.

Joomlas opdateringsproces har også tidligere været kilden til problemer.

I efteråret var den gal, da det CMS blev angrebet få timer efter, at en udsendt patch afslørede kritiske sårbarheder.

De kriminelle kunne nemlig i forbindelse med opdateringen som alle andre læse om de sårbarheder, der blev lappet - og derfor forsøgte de i timerne efter at udnytte hullerne på de Joomla-sider, der endnu ikke var blevet lappet. Læs mere om det her.

Drupal, som Fernando Arnaboldis kritik retter sig imod, er i øvrigt netop udkommet i version 8.

Det er er en af de større opdateringer, der på mange måder markerer et paradigmeskift for open source CMS'et. Læs mere om det her.

Læs også:

Nu frigives Drupal 8: Derfor er det et paradigmeskift for det populære CMS

Kendt CMS under voldsomt angreb kort efter udsendt patch - webmasterne var gået hjem




Navnenyt fra it-danmarkVis alle »
Rupali Melekar
Rupali Melekar
Søren Islin
Søren Islin
Morten Olesen
Morten Olesen
Lotte Astrup
Lotte Astrup

Laura Twibill Mørk
Laura Twibill Mørk
Rasmus Vulpius Gregersen
Rasmus Vulpius Gregersen
Simone Fisker Laursen
Simone Fisker Laursen
Mathias Rotheisen
Mathias Rotheisen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Parathed – Hvad gør din virksomhed, når I bliver ramt?

Cyberkriminalitet vokser som bekendt eksplosivt i takt med digitaliseringen i disse år og det kan være voldsomt dyrt at blive hacket. Potentielt kan det lægge jeres forretning helt ned, så I ikke kan rejse jer igen. Har jeres virksomhed styr på cybersikkerheden i en tid, der kalder på oprustning? Bliv inspireret til, hvad du som virksomhed kan gøre for at sikre virksomheden og medarbejdere, så I kan gå sikkert ind i fremtiden.

21. maj 2024 | Læs mere

Computerworld Summit 2024

Vi kigger ind i scenariet for fremtiden it-afdeling og hvordan virksomheden bedst muligt udnytter både nye og etablerede teknologier til at understøtte vækst og dermed sikre overlevelse i en konkurrencepræget verden.

23. maj 2024 | Læs mere

Den digitale trussel er konstant, kompleks og stadigt stigende - også i den offentlige sektor

I dagens Danmark har vi indrettet os sådan, at alt kommunikation mellem det offentlige og borgerne foregår på forskellige digitale platforme, hvilket gør både borgerne og de offentlige institutioner skrøbelige overfor cyberkriminalitet. Samtidig lyder det fra rapporter, at de offentliges it-systemer er støvede og fulde af teknisk gæld. Dette er en farlig cocktail for de offentlige institutioner, men en særdeles lækker drink for cyber-kriminelle.

28. maj 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Lasse Quorning
Lasse Quorning
Thomas Madsen
Thomas Madsen
Vikram Sharma
Vikram Sharma
Mogens Nørgaard
Mogens Nørgaard
Erik David Johnson
Erik David Johnson
Annette Vendelbo
Annette Vendelbo
Mikael Johansson
Mikael Johansson
Candid Wüest
Candid Wüest
opinion
Lasse Quorning
Lasse Quorning
Kom godt fra start: Tre gode råd til at optimere din ESG-rapportering
Læs indlæg
Artikel teaser billede

Thomas Madsen

Jeg håber ikke, at de unges store interesse for AI varsler nye tider: For vi skal altså ikke glemme det vigtigste

Artikel teaser billede

Vikram Sharma

Et overset spørgsmål om generativ AI: Skal du bygge selv eller købe af andre?

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Jeg kunne have været ejer af KMD, hvis ikke nogle pengedrenge havde kontaktet KMD's chefer

Artikel teaser billede

Erik David Johnson

Generativ AI i praksis: Store sprogmodeller ændrer fuldstændig spillereglerne for klassisk anvendelse af machine learning

Mest læste klummer og blogs
Jeg håber ikke, at de unges store interesse for AI varsler nye tider: For vi skal altså ikke glemme det vigtigste
Klumme: De unge fra universitetsmiljøet virker supernysgerrige på AI. For få år siden havde bæredygtighed samme opmærksomhed, men det har den ikke længere. Jeg håber ikke, at denne subjektive og uvidenskabelige observation varsler nye tider.
Af: Thomas Madsen
Et overset spørgsmål om generativ AI: Skal du bygge selv eller købe af andre?
Klumme: Mange danske virksomheder er så småt begyndt at dyppe tæerne i generativ AI. Men et af de mest simple spørgsmål overses ofte: Skal virksomheder udvikle deres egne AI-modeller eller købe eksisterende?
Af: Vikram Sharma
Generativ AI i praksis: Store sprogmodeller ændrer fuldstændig spillereglerne for klassisk anvendelse af machine learning
Klumme: Hvad er sammenhængen mellem klassisk machine learning (ML), som vi har haft i mange år, og så de helt nye store sprogmodeller inden for Generativ AI? Få svaret her.
Af: Erik David Johnson
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Jeg kunne have været ejer af KMD, hvis ikke nogle pengedrenge havde kontaktet KMD's chefer
opinion Annette Vendelbo
Skal der spilles agilt teater eller skabes robuste resultater og målbare forbedringer?
Læs indlæg

Premium
Teaser billede
USA vil blokere for avanceret AI-software til Kina: Der er dog et lille problem
Læs mere »
Den næste bølge af AI vil se om tre år: Kommer til at handle om hyperautomatisering
Kæmpe datalæk hos Dell kan have ramt danske kunder: Millioner af kundedata er til salg på det mørke internet
Den nye iPads største fjende er Apple selv – for der er en rød linje Apple ikke vil krydse
Se alle »
Computerworld
Teaser billede
Test: Vi vil altså virkeligt gerne beholde HP's nye pc - men den koster 360.000 kroner
Læs mere »
Mød det tyndeste Apple-produkt nogensinde: Klar med en hel stribe af iPad-nyheder
Nørgaard: Jeg kunne have været ejer af KMD, hvis ikke nogle pengedrenge havde kontaktet KMD's chefer
Kontorer er ofte øde og tomme - især efter frokost og op til ferier: Nu vil Dell give de ansatte farve-stempler efter deres fremmøde
Se alle »
CIO
Teaser billede
Her er de bedste Microsoft-partnere i Danmark – mere end 30 selskaber kæmper om priser til årets Partner Awards
Læs mere »
Sådan har Topsoe rullet AI ud til 2.700 medarbejdere: Fik 158 forslag til konkrete AI-projekter - udvalgte 15 pilotprojekter
Microsoft på vej med redningskrans til brugere af gammel version af SQL Server
TV 2 investerer massivt i it og søger 50 nye udviklere: ”Vi er ikke digitale nok”
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Se alle »
White paper
Teaser billede
Opdag fordelene ved cloud-baseret backup og recovery
Læs mere »
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »