Drupal Security patch avond

Vorige week, dinsdagavond, merkten we een Twitterbericht op van het Drupal security team:

critical_drupal_1.png

Een half uurtje later kregen we ook een e-mail binnen van de Drupal security mailinglijst met dezelfde boodschap:

Een onbekend aantal Drupal contributed modules (geen core) zouden "Highly Critical" vulnerabilities hebben. Er werd gesproken over remote code execution-mogelijkheden en de verwachting dat exploits binnen enkele uren zouden verschijnen.

The Drupal Security Team urges you to reserve time for module updates.

Meteen startten we de nodige e-mailcommunicatie op met het Intracto Service and Maintenance team, om ons voor te bereiden op een onbekende hoeveelheid aan patch- en updatewerk. Naar verwachting zouden er wereldwijd tussen de 1,000 en 10,000 websites getroffen zijn - dat kon dus meevallen of tegenvallen. Woensdagochtend werd er een team samengesteld dat 's avonds het nodige werk zou uitvoeren.

Vervolgens was het spannend afwachten ...

13680741_10208940861511528_303246876160024895_n.jpg

Woensdag om 18u00 werden de details vrijgegeven. Het bleek om slechts 3 modules te gaan:

  • RESTWS - Highly critical - Remote code execution - SA-CONTRIB-2016-040
  • Coder - Highly Critical - Remote Code Execution - SA-CONTRIB-2016-039
  • Webform Multiple File Upload - Critical - Remote Code Execution - SA-CONTRIB-2016-038

De "RESTWS" en "Webform Multiple File Upload" worden door ons zeer beperkt of niet gebruikt. Dat was dus snel in orde.

Vervolgens bekeken we de impact van de Coder module. We hebben een intern ontwikkelde tool waarmee we al onze projecten kunnen doorzoeken op het gebruik van bepaalde Drupal modules of Composer packages. Hierdoor was het eenvoudig om een oplijsting te maken van de websites waar we Coder gebruikt hebben.

De Coder module moest niet geactiveerd zijn om misbruikt te kunnen worden. Gewoon het aanwezig zijn van de bestanden was voldoende. De projecten werden verdeeld onder het team van patchers en op een klein half uurtje was al het werk klaar.

win.jpg

Geen enkele klant kreeg hiervoor van ons een e-mail. We hebben dit werk snel en efficiënt uitgevoerd, zonder downtime, zodat iedereen met een veilige Drupalinstallatie verder kan werken.

De dag erop trakteerde onze Drupal Lead nog met een doos koffiekoeken, want dat mocht wel na zo'n succesvolle patch avond!

Meer weten? Contacteer ons!