Il bug, che può avere conseguenze molto gravi, è stato battezzato con il nome di “Drupalgeddon2“. Nello specifico questa falla consente a chiunque di avviare l’esecuzione di codice in remoto senza nessuna forma di autenticazione causando la completa compromissione del sito web. L’unica informazione necessaria per sfruttare la falla di sicurezza è conoscere l’URL del sito.
COME APPLICARE LA PATCH DI SICUREZZA PER METTERE AL SICURO IL VOSTRO SITO WEB
Vi invitiamo pertanto a seguire le linee guida riportate sotto e ad aggiornare immediatamente la versione del CMS Drupal:
- Drupal 7.x: upgradare a Drupal 7.58. Se non puoi eseguire un aggiornamento immediato puoi applicare questa patch in modo da fixare la vulnerabilità.
- Drupal 8.5.x: upgradare a Drupal 8.5.1. Anche in questo caso, è possibile applicare una patch prima dell’aggiornamento.
Le versioni di Drupal 8.3.x e 8.4.x non sono più supportate e, per questo motivo, non vengono più rilasciati fix di sicurezza. Tuttavia, considerata la gravità della falla, gli sviluppatori del CMS hanno comunque rilasciato la patch anche per le versioni minori prima dell’aggiornamento alla versione 8.5.0 (versione a oggi raccomandata). Se la versione di Drupal utilizzata è:
- Drupal 8.3.x: è necessario upgrade alla versione 8.3.9 e applicare questa patch
- Drupal 8.4.x: è necessario upgradare alla versione 8.4.6 e applicare questa patch
Il bug di sicurezza impatta anche le versioni di Drupal 8.2.x e precedenti, che ricordiamo non essere più supportate:
- Drupal 8.2.x: è necessario aggiornare a una versione più recente e successivamente seguire le istruzioni qui sopra.
- Drupal 6 EOL (End Of Life): per il supporto di questa versione è necessario contattare D6LTS vendor
Conclusioni
Per maggiori informazioni riguardo a questa falla di sicurezza e alle relative patch, vi invitiamo a prendere a visione dell’annuncio degli sviluppatori pubblicato sul sito ufficiale di Drupal.
Prima di ogni aggiornamento /modifica sul sito web, vi consigliamo di verificare che i template e i componenti siano compatibili con la nuova installazione e di eseguire un backup dei dati preventivo in modo da ripristinare immediatamente i contenuti del sito web nel caso in cui l’operazione dovesse non andasse a buon fine.
Vi ricordiamo che il nostro staff tecnico è a disposizione per ulteriori chiarimenti tramite l’apertura di un ticket previo login nell’Area Clienti host.it.
Noi di Host crediamo molto nel ruolo del provider di hosting come partner del business dei nostri clienti. Tutti i nostri clienti che utilizzano Drupal sono stati avvisati tramite una comunicazione via email e, attraverso questo articolo, vogliamo rendere pubblico il nostro impegno a mantenere al sicuro i vostri siti web.
Vi ricordiamo infine che le procedure di aggiornamento sono necessarie al fine di garantire il successo del vostro business online!
