Säkerhetshål i Drupal 7

Ett säkerhetshål i Drupal 7 har hittats av det tyska konsultbolaget SektionEins.

Drupal, ett populärt CMS som används av en stor skara för att sköta hemsidor. Använder ni WordPress eller något annat CMS så behöver ni inte oroa er, detta säkerhetshålet är endast Drupal 7 före version 7.32 drabbat av.

Den 15e oktober släpptes ett ärende från Drupals egna säkerhetsavdelning att det finns ett allvarligt säkerhetshål som innebär att man kan köra SQL-kommandon under vissa omständigheter.

Ett hål som detta som ger en okänd person möjlighet att köra SQL-kommandon är mycket ödesdigra då det kan innebära att någon tar bort eller ändrar i databasen, det kan också ge möjlighet att exekvera PHP-kod.

När säkerhetshålet uppdagades så kördes många automatiska skanningar igång som sökte igenom internet efter Drupal 7 hemsidor, så även fast du inte ser något på din hemsida så kan du vara drabbad.

Åtgärden för att avhjälpa säkerhethålet är en återställning av filer samt databas till den 14e oktober och sedan omgående uppgradera drupal till 7.33.
Ändringarna som gjorts på sidan sedan 14e oktober behöver göras om men det är tyvärr enda sättet och det sätt som Drupals egna säkerhetsavdelning rekommenderar.

För att det ska vara så enkelt som möjligt för dig som kund så kan vi utföra detta åt er, meddela vilken domän, databas, datum och om ni önskar att nuvarande databasen ska skrivas över. Detta skickar ni in per e-post till support@oderland.se, viktigt är också att ni skickar från kontoägaren.

Vi har sparat och arkiverat en återställningspunkt från den 14 oktober 2014 på alla webbhotell samt managed servrar.

**Vänligen notera, databasåterställning behöver ni maila oss om, filer kan ni återställa själv om ni önskar.**

Ni kan läsa mer om säkerhetshålet på Drupals säkerhetsavdelning:
https://www.drupal.org/SA-CORE-2014-005
https://https://www.drupal.org/PSA-2014-003