Drupal telah mengumumkan “rilis keamanan inti” yang dijadwalkan hari ini, memperingatkan bahwa pelaku ancaman mungkin mengembangkan eksploitasi dalam beberapa jam setelah pengungkapan pembaruan.
Administrator didesak untuk meluangkan waktu untuk pembaruan inti pada tanggal 20 Mei antara pukul 17:00 dan 21:00 UTC. Administrator situs web yang menjalankan versi 8 atau 9 sangat disarankan untuk meningkatkan setidaknya ke versi 10.6.
Sistem manajemen konten (CMS) Drupal sangat populer di kalangan organisasi besar serta di sektor pemerintahan, pendidikan, dan kesehatan.
Menurut pengumuman layanan masyarakatkerentanan memengaruhi Drupal core versi 8 dan yang lebih baru, namun saran tersebut mengklarifikasi bahwa tidak semua konfigurasi terpengaruh. Pembaruan keamanan akan tersedia untuk versi berikut:
- Drupal 11.3.x
- Drupal 11.2.x
- Drupal 11.1x
- Drupal 10.6.x
- Drupal 10.5.x
- Drupal 10,4x
Drupal mencatat bahwa, meskipun versi 11.1x dan 10.4x tidak lagi didukung, perbaikan akan tetap diberikan karena parahnya masalah keamanan; administrator harus memperbarui ke Drupal 11.1.9 dan 10.4.9.
Drupal 8 dan 9, yang telah mencapai akhir masa pakainya, tidak akan menerima patch, namun file hotfix akan diterbitkan untuk versi 9.5 dan 8.9, sehingga memungkinkan perbaikan bagi mereka yang menjalankan versi 9.5.11 atau 8.9.20.
Situs yang menggunakan Drupal Steward sudah terlindungi dari vektor serangan yang diketahui. Namun, pembaruan tetap disarankan.
Tidak ada rincian teknis tentang kerentanan yang diungkapkan, dan informasi apa pun yang muncul secara online tentang kerentanan tersebut bisa jadi palsu, dimaksudkan untuk mengelabui admin agar mengambil tindakan berisiko. Oleh karena itu, disarankan untuk berhati-hati.
“Baik Tim Keamanan maupun pihak lain tidak dapat merilis informasi lebih lanjut tentang kerentanan ini sampai pengumuman dibuat,” Drupal memperingatkan.
Administrator situs web Drupal harus terus memantau portal keamanan resmi platform sepanjang hari untuk mendapatkan informasi lebih lanjut dan bersiap untuk menerapkan pembaruan keamanan segera setelah tersedia.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
