Abo
  • Services:
Anzeige
In Drupal 7 befindet sich eine schwere Sicherheitslücke.
In Drupal 7 befindet sich eine schwere Sicherheitslücke. (Bild: Drupal)

Sicherheitslücke: Drupal-Team warnt erneut vor Folgen

In Drupal 7 befindet sich eine schwere Sicherheitslücke.
In Drupal 7 befindet sich eine schwere Sicherheitslücke. (Bild: Drupal)

Wer seine Drupal-Installation nicht innerhalb von sechs Stunden nach Bekanntgabe der kürzlich entdeckten Sicherheitslücke gepatcht hat, sollte sein System als kompromittiert betrachten, warnt das Drupal-Team.

Anzeige

Die kürzlich entdeckte Sicherheitslücke im Content Management System Drupal könne weiterhin schwere Folgen haben, warnt das Entwicklerteam. Wer das System nicht innerhalb von sechs Stunden nach Bekanntgabe der Lücke aktualisiert hat, sollte es komplett neu aufsetzen. Denn Angreifer hätten kurz nach der Veröffentlichung bereits nach unsicheren Systemen gesucht. Die Sicherheitslücke erlaubte einen uneingeschränkten Zugriff auf eine Drupal-Installation.

Drupal-Anwender sollten ihre Systeme auch als kompromittiert einstufen, wenn das CMS ohne ihr eigenes Zutun auf eine sichere Version aktualisiert worden sei, warnte das Drupal-Team. Es gebe bereits Fälle, wonach die Angreifer das System selbst abgesichert hatten, etwa, damit sich nicht andere Angreifer einnisten oder der Angegriffene keinen Verdacht schöpft.

Erste Angriffe erfolgten unmittelbar

Erste Scans nach unsicheren Systemen hätten bereits kurz nach der Veröffentlichung begonnen. Die ersten kompromittierten Systeme seien bereits etwa sechs Stunden später registriert worden. Es reiche daher nicht, wenn eine Drupal-Installation nachträglich aktualisiert wurde, Angreifer hätten sich unter Umständen bereits Zugriff verschafft und etwa Passwörter ausgelesen, mit denen sie auch danach Zugriff auf das CMS haben.

Anwendern wird geraten, zunächst das gesamte System vom Netz zu nehmen. Anschließend sollten in einer frisch aufgesetzten Drupal-Installation sämtliche Inhalte aus einem Backup eingespielt werden, das vor dem 14. Oktober 2014 erstellt wurde. Bevor das CMS wieder ans Netz geht, sollten dann die Aktualisierungen eingespielt und auch Passwörter geändert werden.

Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in dem Abstraktions-API ist, das solche Angriffe eigentlich verhindern soll. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat.


eye home zur Startseite
bstea 30. Okt 2014

https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection...



Anzeige

Stellenmarkt
  1. Diehl AKO Stiftung & Co. KG, Wangen im Allgäu
  2. DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Köln
  3. Daimler AG, Leinfelden-Echterdingen
  4. SICK AG, Reute bei Freiburg im Breisgau


Anzeige
Top-Angebote
  1. 849,90€
  2. Boomster 279,99€, Consono 35 MK3 5.1-Set 333,00€, Move BT 119,99€)
  3. 69,99€ (Liefertermin unbekannt)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Smartphones

    iOS legt weltweit zu - außer in China und Deutschland

  2. Glasfaser

    Ewe steckt 1 Milliarde Euro in Fiber To The Home

  3. Nanotechnologie

    Mit Nanokristallen im Dunkeln sehen

  4. Angriff auf Verlinkung

    LG Hamburg fordert Prüfpflicht für kommerzielle Webseiten

  5. Managed-Exchange-Dienst

    Telekom-Cloud-Kunde konnte fremde Adressbücher einsehen

  6. Rockstar Games

    Spieleklassiker Bully für Mobile-Geräte erhältlich

  7. Crimson Relive Grafiktreiber

    AMD lässt seine Radeon-Karten chillen und streamen

  8. Layout Engine

    Facebook portiert CSS-Flexbox für native Apps

  9. Creators Update für Windows 10

    Microsoft wird neue Sicherheitsfunktionen bieten

  10. Landgericht Traunstein

    Postfach im Impressum einer Webseite nicht ausreichend



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

  1. Re: Die erste kurze Demo sieht ja schon mal gut aus

    Sybok | 20:55

  2. Re: Linux + Wine?

    ManMashine | 20:53

  3. Re: Ja ist denn heut schon Weihnachten?

    hle.ogr | 20:51

  4. Re: Es werden "bis zu 300 MBit/s innerhalb eines...

    Ovaron | 20:45

  5. Re: Mit Glasfaser wäre das nicht passiert :-)

    Ovaron | 20:42


  1. 18:02

  2. 16:46

  3. 16:39

  4. 16:14

  5. 15:40

  6. 15:04

  7. 15:00

  8. 14:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel