Amerykański Biały Dom zmienił niedawno system zarządzania swoją stroną z oprogramowania napisanego wewnętrznie na popularny CMS Drupal.

Strona wizualnie się nie zmieniła, wystarczy jednak zajrzeć od kodu źródłowego by zobaczyć charakterystyczne dla Drupala fragmenty JavaScriptu oraz ścieżki do plików ("/sites/default").

Decyzja wzbudziła rzecz jasna liczne komentarze - jedni cieszą się "wielką wygraną open-source", inni krytykują za potencjalne narażenie strony na ryzyko bo "open-source ma więcej dziur". Czyli tradycyjny spór o wyższość świąt Bożego Narodzenia nad Wielkanocą.

Radosne głosy użytkowników Drupala (do których i ja należę) są dość oczywiste. Jednak komentarz na temat "12 stron z dziurami w Drupalu w OSVDB" pochodzi od RSnake, czyli człowieka, którego warto wysłuchać gdy mowa jest o dziurach w aplikacjach webowych.

RSnake podnosi dwie kwestie: że w Drupalu można szukać dziur bez wysłania choćby jednego pakietu do strony Białego Domu (bo jest z kodem źródłowym, więc nie narażamy się podczas rekonesansu) oraz że w Drupalu znanych jest już mnóstwo dziur.

Istotnie, oprogramowanie zamknięte testuje się nieco trudniej niż otwarte. Czy zawsze? Miałem niedawno okazję badać całkowicie zamknięty system embedded, który okazał się być Linuksem z PHP, z którego po chwili zabawy udało się pobrać cały kod źródłowy aplikacji webowej do zarządzania. Fuzzer z kolei ujawnił dziurę typu "null pointer dereference" w sterowniku kluczowego w tym urządzeniu protokołu. Różnica "zamknięte vs otwarte" praktycznie tutaj nie istniała. Oczywiście - musiałem dostać dostęp do urządzenia do testów.

Drupal jest systemem rozwijanym od dawna z myślą o bezpieczeństwie. Mając wątpliwą przyjemność łatać go kilka razy w miesiącu widzę, jakiego rodzaju są to jednak dziury - większość dotyczy zewnętrznych modułów lub opiera się o stosunkowo mało prawdopodobne wektory ataku, a nie oczywiste i gotowe do wykorzystania dziury (jak fatalna seria w PHPbb swego czasu). Prawdopodobnie i bez łatania by się obyło, o czym świadczy fakt, że zaprzyjaźnione serwisy działają od lat na niełatanym Drupalu w wersji 4.

Jak w drugiej części posta przyznaje RSnake, mało jednak prawdopodobne by zespół prezydenta Obamy wziął "na żywca" domyślną instalację Drupala i po prostu ją postawił. Istotnie - Drupal bardzo dobrze integruje się z systemami takimi jak PHPIDS (jest gotowy moduł). Bez problemu działa także z domyślnym zestawem regułek mod_security.