Het Drupal security team neemt op dit moment maatregelen waar het gaat om de veiligheid rond de updatemanager van Drupal. Die bleek, met name in Drupal 7 en 8, voor verbetering vatbaar.
Aanleiding voor deze actie is een blogartikel van Fernando Arnaboldi dat aantoont dat de security rond de updatemanager module van Drupal niet waterdicht is. De mogelijkheid van een man-in-the-middle aanval is weliswaar zeer klein en kan zich alleen voordoen in bijzondere situaties, het security team ziet toch reden dit probleem met voorrang op te lossen.
Middelpunt van het veiligheidsprobleem is het XML-bestand dat Drupal periodiek van de server haalt om te controleren op de aanwezigfheid van updates. Dit bestand wordt via een niet-beveiligde verbinding opgehaald, wat voor kwaadwillenden mogelijkheden tot misbruik zou kunnen bieden.
We houden u opdeze plaats op de hoogte van de ontwikkelingen.
Artikel van Drupal security team over dit onderwerp:
https://groups.drupal.org/node/506128
Oorspronkelijk blogartikel van Fernando Arnaboldi:
http://blog.ioactive.com/2016/01/drupal-insecure-update-process.html