Co tu dużo mówić... roztrząsamy niebezpieczeństwo chmury a tu jeden z najpopularniejszych CMSów oberwał właśnie gigantyczną, dosłownie gigantyczną wtopą.

Nie odkryta i nie zapaczowana na bardzo wielu stronach (brak automatycznegoo systemu updateów) luka bezpieczeństwa spowodowała że ok

12 milionów stron opartych na Drupalu może być w tej chwili zarożonych a dane z nich już wyciekły w nieznane
http://www.bbc.com/news/technology-29846539

poziom spenetrowania stron jest taki że obecnie nawet zainstalowanie najnowszego softu nie usunie już backdoorów.

co to drupal ?

Straszny przecież napisał w pierwszym zdaniu...

jakie to ma znaczenie dla pana Kowalskiego .?

@Fergus_Shadow
To zależy czy prowadzi swoją stronę w oparciu o Drupala czy nie.

owszem ..... tyle ze Drupal to nadal  ponizej 2%  stron w sieci z tendencja spadkową

Mam nadzieję, że Quick.CMS jest lepszy w kwestii bezpieczeństwa.

@Kinslayer - CMS - taki "szkielet" strony. Dostosowujesz go pod własne wymagania jakimiś elementami graficznymi, układem, czcionki, itp. Niestety, dziurawy jak ser szwajcarski, nikomu tego syfu nie polecam.

@Fergus_Shadow

na miliard stron jakie jest na świecie, drupal ponoć ma 5%. 

Jakie ma znaczenie? OGROMNE, wręcz gigantyczne i tak wielkie jak żaden włam dotychczas.


Przecież to są wszystko CMSy, te 12 mln stron - sklepy internetowe, serwisy obsługujące różne usługi, itd... wszystkie niezapatchowane na czas ręcznie, mają pełny wyciek haseł/kart kredytowych/loginów/nazwisk

w ilu sklepach internetowych kupowałeś, zostawiałeś swoje dane ? Każdy z nich może być na drupalu a Twoje dane właśnie wymienia między sobą 2000 hakerów.

No i morał z tego jaki Straszny ?
Taki, że nasze wszechobecne IT-technology jest bardziej gówniane niż samolot braci Wright, lokomotywa Stephensona i pierwsze samochody razem wzięte w kwestii bezpieczeństwa.
I co z tego ? Ano nic.
Bo z jakichś nieznanych powozów - żeby nie wchodzić w teorie spiskowe - pozwalamy na to (jako użytkownicy, nabywcy) żeby oferowane nam rozwiązania były tak bardzo złe jak to tylko możliwe.
Nikt nie kupiłby samochodu, butów, ubrań wykonanych tak beznadziejnie.
A co najśmieszniejsze/najstraszniejsze to to że wciąż pozwalamy na to aby umowy związane z technologiami IT i softwarem jako takim były sformułowane tak, że gdyby dotyczyły innych dziedzin życia to firmy je oferujące miały by na karku wszelkie możliwe organy nadzoru i kontroli.

Osobiście chciałbym, żeby taki włam z wyciekiem wszystkich danych trafił na FB, Twitta i wszelkie inne najbardziej "trendowe" pseudo-niezbędne współczesnym ludziom portale.
Ale to niestety tylko pobożne życzenie.

@thor2k

Nikt nie kupiłby samochodu, butów, ubrań wykonanych tak beznadziejnie.

Jaja sobie robisz prawda?

Osobiście chciałbym, żeby taki włam z wyciekiem wszystkich danych trafił na FB, Twitta i wszelkie inne najbardziej "trendowe" pseudo-niezbędne współczesnym ludziom portale.
Ale to niestety tylko pobożne życzenie.

Możesz rozwinąć myśl? Chodzi Ci o to by wyciek (dane) rozpowszechnić poprzez te serwisy? Czy żeby to na nie ktoś się włamał i wykradł wszystkie dane?

@ thor2k
Nikt Ci nie karze korzystać z dobrodziejstw IT.
Żadne wytworzone oprogramowanie nigdy nie będzie w pełni bezpieczne. To jest niewykonalne. 
Narzekasz na coś, na co nikt nie ma wpływu.  

Taki, że nasze wszechobecne IT-technology jest bardziej gówniane niż samolot braci Wright, lokomotywa Stephensona i pierwsze samochody razem wzięte w kwestii bezpieczeństwa.
I co z tego ? Ano nic.
Bo z jakichś nieznanych powozów - żeby nie wchodzić w teorie spiskowe - pozwalamy na to (jako użytkownicy, nabywcy) żeby oferowane nam rozwiązania były tak bardzo złe jak to tylko możliwe.

Masz na myśli, że nikt się nie przykłada do pracy nad softem?

@ straszny
Coś bardzo mało w necie o tym informacji i ciężko doczytać się czegoś konkretnego. 
Czy przypadkiem luka nie odnosi się do najnowszej wersji drupala, która była wypuszczona raptem parę dni przed wykryciem błędu? Jeśli tak, to raptem garstka stron jest narażona, gdyż CMS aktualizuje się ręcznie. W przypadku ogromnych portali proces ten jest z reguły długotrwały. 

Cholera, a ja pobladłem i zaktualizowałem do najnowszej wersji (7.32) wczoraj.
To teraz nie wiem, czy dobrze zrobiłem, czy nie, ale jak by było coś nieodpowiednie, to by aktualizację cofnęli i jej nie dawali ?

@Netman
nie nie, w sieci jest sporo - tylko googluj przez np Drupageddon ;p

LUKA ISTNIEJE OD 2011 i od tamtego czasu wszystkie witryny komercyjne na Drupalu (pare dobrych milionów sklepów w sieci) jest narażona na pełny wyciek totalnie wszystkich danych.

Jeśli jeszcze nie załataliście swoich witryn to zróbcie to najszybciej jak się da, bo jest się czego obawiać. Luka pozwala przejąć 100% kontrolę nad Waszą stroną za pomocą zwykłego SQL Injection. Co gorsza atakujący nie musi mieć żadnych wcześniej nabytych uprawnień. Wystarczy, że sprytnie spreparuje URL i już będzie miał konto administratora strony.


Luka została odkryta w trakcie niezależnego audytu zleconego firmie SektionEins. Jak się okazuje istniała w systemie od 2011 roku. Podatność dostała już swoją „pieszczotliwą” nazwę własną – Drupageddon.

@inferno
nowa wersja jest jedyną odporną


@thor2k
nie wiem... sam jeszcze nie myślałem, w każdym razie skala włamania, zasięg, i groźba wynikająca z niego jest największa chyba w historii internetu. Nigdy nie było tak dużego rozległego włamu w sieci.

LUKA ISTNIEJE OD 2011 i od tamtego czasu wszystkie witryny komercyjne na Drupalu (pare dobrych milionów sklepów w sieci) jest narażona na pełny wyciek totalnie wszystkich danych.

Drupal to głównie zwykłe witryny (sklepów wcale nie ma na nim aż tak dużo)

Nigdy nie było tak dużego rozległego włamu w sieci.

Chyba czytaliśmy różne źródła - ja widziałem jedynie informacje o podatności (vulnerability), natomiast nie widziałem statystyk faktycznych włamań - jeśli masz takie informacje to poproszę, jeśli nie to nie zaklinaj rzeczywistości.

PS. Chłopaki z Drupala przynajmniej się przyznali i piszą informacje o tym jak sobie z tym radzić, aż boję się myśleć jak to wygląda w WordPressie, czy Joomli.
PS2. Drupal to naprawdę skomplikowany kawałek softu pisany przez sporo ogarniętych ludzi, takżę pisanie o tym że kwestie bezpieczeństwa są "olewane" jest delikatnie mówiąc niepoważne - w wielu softach zdarzają się takie "dziury".

Może to i dobrze. Im więcej takich wpadek, tym bardziej może wszyscy się przyłożą do kwestii bezpieczeństwa.

@Han
źródło oryginalne - raport zespołu Drupala
nie jest o podatności tylko o o tym że nastąpił włam na strony.

do statystyk to chyba za wcześnie, przecież to teraz się dzieje.


BBC podało takie info "do 12 milionów stron mogło zostać złamanych", to puściłem dalej. Nie odbieraj tego osobiście, bo jak rozumiem jesteś związany z Drupalem.  Takie dane podała oryginalnie firma Sophos, oceniając że na luce w Drupalu ucierpiało ok. 5% ze światowego zasobu stron www.

Chce podkreślić skalę problemu, a nie najeżdżać na ten konkretny CMS.

Faktycznie - moja wypowiedź mogła być nacechowana personalnie - z Drupalem miałem sporo wspólnego przez blisko 4 lata (ostatnie 2 lata trochę mniej, ale wciąż).
Ogólnie to chodzi mi o to, że całkowite zabezpieczanie aplikacji o takim rozmiarze i poziomie skomplikowania jest praktycznie niewykonalne. Oczywiście trzeba tworzyć aplikację/rozwijać ją z uwzględnieniem zasad bezpieczeństwa, ale wszystkiego nie da się wychwycić na etapie projektowania/programowania i wtedy można co najwyżej napisać informację i łatać wykryte dziury.