De Drupal Association kent een Security Team, bestaande uit ongeveer 40 personen die zich continue bezig houden met het auditen en verbeteren van de veiligheid van Drupal core en de contributed modules.
Periodiek, wanneer nodig, brengt het Security Team advisories uit. Dit zijn notificaties van aangetroffen veiligheidsproblemen en advies aan de website eigenaar over hoe dit probleem op te lossen. Deze notificaties, security advisories genoemd, worden op drupal.org gepubliceerd.
Core en Contrib
Er bestaan 2 typen advisories:
- Advisories over Drupal core
- Advisories over uitbreidingsmodules (contrib modules)
Bij advisories die Drupal core betreffen is het altijd verstandig om na te gaan of deze betrekking hebben op de Drupal versie die uw site gebruikt. Zo ja, dan is in de advisory te lezen onder welke randvoorwaarden de veiligheidsproblemen zich voordoen. Als uw site aan deze randvoorwaarden voldoet is het meestal verstandig om te updaten naar de laatste minor versie van Drupal.
Bij advisories die één van de uitbreidingsmodules betreffen is natuurlijk de eerste vraag of deze module binnen uw site actief is. Alleen als dat zo is is eventueel actie noodzakelijk.
Risiconiveaus
Security advisories kunnen worden ingedeeld naar risiconiveau. Elke advisory is voorzien van één van de volgende aanduidingen:
- Not Critical
Weliswaar is sprake van een veiligheids issue maar de risico's hiervan zijn laag.
- Less Critical
Kans op risicovolle veiligheidsproblemen maar alleen indien zich een complex samenspel van randvoorwaarden voordoet (zeldzaam).
- Moderately Critical
Risico op serieuze ondermijning van het systeem door geregistreerde gebruikers met verhoogde permissies.
- Critical
Risico op serieuze ondermijning van het systeem door niet-geregistreerde gebruikers op afstand. De te verwachten schade neemt evenredig toe met de aanwezigheid van overige voorwaarden.
- Highly Critical
Risico op serieuze ondermijning van het systeem door niet-geregistreerde gebruikers op afstand zonder dat overige voorwaarden vereist zijn.
- Unsupported
Feitelijk is dit geen aanduiding van een risiconiveau, maar evengoed erg belangrijk.
Wanneer in een security advisory voor een module wordt vermeld dat deze Unsupported is, dan wil dat zeggen dat voor de gevonden security issue geen oplossing is uitgebracht door de maker van de module. In dit geval rest je als websitebeheerder of -eigenaar niets anders dan de betreffende module in je website(s) uit te schakelen.
Meer informatie?
Meer informatie of heeft u vragen over de veiligheidssituatie van uw website? Neem contact met ons op via info@drupal-webdesign.nl of +31(0)640221185.