Drupal-sisällönhallintaohjelmistosta löydettiin eilen kriittinen haavoittuvuus, joka mahdollistaa hyökkääjän komentojen suorittamisen kohdejärjestelmässä ja sivuston täydellisen haltuunottamisen.
Kansainvälinen Drupal-kehittäjien yhteisö mainitsee haavoittuvuuden löytäjäksi helsinkiläisessä Druid-ohjelmistokehitysyrityksessä työskentelevän Jasper Mattssonin, joka osallistui myös vian korjaavan ohjelmistopäivityksen kehittämiseen.
Drupal-tiimin tietoon ei vielä ole tullut tietoja haavoittuvuutta hyväksikäyttävistä hyökkäyksistä verkkosivustoille, mutta Drupal-sisällönhallintajärjestelmän osuus kaikkien verkkosivujen alustana on merkittävä, joten haavoittuvuudelle alttiita sivustoja on maailmalla jopa miljoonia.
Suomessa Drupalia käyttävät mm. Yle, Helsingin yliopisto, sekä useat kunnat.
Jasperin mukaan “käytännössä kaikki sivustolla olevat tiedot olisivat olleet vaarassa joutua vieraisiin käsiin ja sivuston sisällön olisi voinut korvata esimerkiksi haittakoodilla.”
Nopean reagoinnin ansiosta haavoittuvuuden korjaava ohjelmistopäivitys saatiin nopeasti julkaistua, mutta vahinkojen ehkäiseminen edellyttää ohjelmistoversion päivittämistä. Drupalin tietoturvatiimi kehottaa ylläpitäjiä päivittämään järjestelmät viipymättä.
Viestintäviraston ohjeet aiheesta.
Lisätietoa:
Mikko Hämäläinen, Druid Oy
+358 40 5275945
mikko.hamalainen@druid.fi
viestintavirasto.fi