Drupal Tutup Celah Access Bypass di Core Engine

Celah kritis di Drupal Core Engine akhirnya ditutup pada update terbaru yang dirilis pada hari Rabu, 19 April 2017.

Para engineer Drupal menyebutnya sebagai celah Access Bypass dan mengatakan website berbasis Drupal memiliki celah hanya dalam kondisi tertentu, termasuk apakah website mengaktifkan modul RESTful Web Service, apakah memungkinkan PATCH request, dan apakah penyerang mendapatkan akses atau register akun pengguna pada website.

Pihak Drupal mengatakan, versi 8 dari content management system atau CMS ini khususnya versi antara 8.2.8 dan 8.3.1 berpengaruh dengan masalah ini. Dan bagusnya Drupal versi 7.x tidak terpengaruh.

Drupal juga menyarankan agar website Drupal menonaktifkan pendaftaran user untuk sementara waktu jika tidak penting bagi organisasi. Drupal merekomendasikan website yang berjalan dengan Drupal 8.2.7 segera di-upgrade ke versi 8.2.8, dan website yang menggunakan Drupal 8.3.0 segera di-upgrade ke versi 8.3.1.

Pada bulan Maret 2017, maintenance release untuk Drupal Core telah dirilis, dan update ini termasuk memperbaiki isu keamanan, seperti celah remote code execution pada development library pihak ketiga yang diintegrasikan ke dalam Drupal 8.

Update yang dirilis bulan Maret kemarin ini juga menambalkan celah access bypass. Drupal mengatakan bahwa module editor tidak akan memeriksa akses untuk file pribadi yang ditambahkan melalui text editor seperti CKEditor.

Dan juga, celah cross-site request forgery di beberapa jalur administrasi juga telah ditambal pada rilis bulan Maret. Jalur ini, kata Drupal, karena kurangnya perlindungan CSRF, penyerang pada gilirannya dapat menonaktifkan beberapa blok tersebut.

Sebelum bulan Maret, tidak ada update keamanan untuk Drupal sejak musim gugur tahun lalu. Pada bulan November, celah cache poisoning dan denial of service telah ditambal pada core engine. Sementara di bulan September, 3 bugs telah ditangani, termasuk celah cross-site scripting, masalah dimana penyerang dapat mendownload laporan konfigurasi sistem tanpa otorisasi, dan masalah seputar permission untuk comment administration pada website Drupal.

Jakartawebhosting menyediakan server yang sesuai dengan kebutuhan minimum sistem Drupal dan bisa dijadikan pilihan yang tepat untuk Drupal hosting.