CMS: Kritische Lücken im Update-Prozess von Drupal

Die automatischen Updates von Drupal können so manipuliert werden, dass recht leicht Malware eingeschleust werden kann. Bekannt ist dies wohl schon seit Jahren, Lösungen dafür werden nun erneut diskutiert.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten Updates vorerst nicht automatisch installieren.
Drupal-Nutzer sollten Updates vorerst nicht automatisch installieren. (Bild: Drupal.org)

Wie andere Anwendungen bietet das Content-Management-System Drupal seinen Nutzern den komfortablen Dienst zur automatischen Update-Suche und Installation. Dieser Prozess könne aber so manipuliert werden, dass Malware mit Hintertüren für weitere Angriffe eingeschleust werden könne, schreibt Fernando Arnaboldi im Blog von Ioactive.

Stellenmarkt
  1. IT-Administrator Windows m/w/d
    Bioscientia Healthcare GmbH, Ingelheim am Rhein
  2. Leiter Netzwerkinfrastruktur (m/w/d)
    Hays AG, Dresden
Detailsuche

Demnach zeigt zwar Drupal 6 noch eine Warnung an, falls die automatische Aktualisierung fehlgeschlagen ist, in den Version 7 und 8 hingegen fehle diese Warnung. Drupal meldet stattdessen, dass keine Aktualisierungen vorlägen. Darüber hinaus sei die manuelle Prüfung nach Updates aus Drupal 6 und 7 heraus anfällig für eine sogenannte Cross-Site-Request-Forgery.

So könnten Angreifer jederzeit die Suche nach Updates gegen den Willen des Administrators forcieren und so sehr viel Netzwerkverkehr erzeugen. Ist die Anbindung des betroffenen Drupal-Hosts wesentlich kleiner als die der Update-Server von Drupal selbst könnte so ein Denial-of-Service (DoS) erzeugt werden. Ebenso könnte durch das gezielte Starten sehr vieler Abfragen auf verschiedenen Drupal-Instanzen ein DoS-Angriff auf die Update-Server von Drupal gestartet werden.

Unverschlüsselte, nicht-verifizierte Updates

Wesentlich schwerwiegender als die zwei genannten Probleme ist jedoch, dass die automatischen Updates bei Drupal laut Arnaboldi vollkommen unverschlüsselt übertragen werden und deren Integrität außerdem nicht überprüft wird. Über einen Man-in-the-Middle-Angriff könnte so Malware auf dem Hostrechner installiert werden.

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    29./30.08.2022, virtuell
Weitere IT-Trainings

Dies ist auch über den Update-Prozess einzelner Module für Drupal möglich. Mit der entsprechenden Schadsoftware könnten so die Zugangsdaten der Drupal-Datenbank ausgelesen werden. Arnaboldi zufolge diskutierte das Drupal-Team bereits im Jahr 2012 Angriffsszenarien, die sich aus dem schlecht gesicherten Update-Prozess ergeben. Nach einer erneuten Meldung des Problems durch den Sicherheitsforscher kümmere sich das Sicherheitsteam von Drupal nun aber um eine Lösung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Internet
Indien verbannt den VLC Media Player

Weder Downloadlink noch Webseite des VLC Media Players können von Indien aus aufgerufen werden. Der vermutete Grund: das Nachbarland China.

Internet: Indien verbannt den VLC Media Player
Artikel
  1. Microsoft & Sony: Playstation-4-Absatz doppelt so hoch wie Xbox One
    Microsoft & Sony
    Playstation-4-Absatz doppelt so hoch wie Xbox One

    Während Sony weit über 100 Millionen der PS4-Konsolen verkauft hat, erreichte Microsoft nicht einmal halb so viele Xbox-One-Geräte.

  2. THG-Prämie: Das fragwürdige Abkassieren mit der eigenen Wallbox
    THG-Prämie
    Das fragwürdige Abkassieren mit der eigenen Wallbox

    Findige Vermittler bieten privaten Wallbox-Besitzern Zusatzeinnahmen für ihren Ladestrom. Wettbewerber sind empört.
    Ein Bericht von Dirk Kunde

  3. Wissenschaft: Der Durchbruch in der Kernfusion ist ein Etikettenschwindel
    Wissenschaft
    Der Durchbruch in der Kernfusion ist ein Etikettenschwindel

    National Ignition Facility hat das Lawson-Kriterium der Kernfusion erreicht, aber das gilt nur für echte Reaktoren, keine Laserexperimente.
    Ein IMHO von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Playstation Sale: Games für PS5/PS4 bis 84% günstiger • Günstig wie nie: SSD 1TB/2TB, Curved Monitor UWQHD LG 38"/BenQ 32" • Razer-Aktion • MindStar (AMD Ryzen 7 5800X3D 455€, MSI RTX 3070 599€) • Lego Star Wars Neuheiten • Bester Gaming-PC für 2.000€ [Werbung]
    •  /