• IT-Karriere:
  • Services:

CMS: Kritische Lücken im Update-Prozess von Drupal

Die automatischen Updates von Drupal können so manipuliert werden, dass recht leicht Malware eingeschleust werden kann. Bekannt ist dies wohl schon seit Jahren, Lösungen dafür werden nun erneut diskutiert.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten Updates vorerst nicht automatisch installieren.
Drupal-Nutzer sollten Updates vorerst nicht automatisch installieren. (Bild: Drupal.org)

Wie andere Anwendungen bietet das Content-Management-System Drupal seinen Nutzern den komfortablen Dienst zur automatischen Update-Suche und Installation. Dieser Prozess könne aber so manipuliert werden, dass Malware mit Hintertüren für weitere Angriffe eingeschleust werden könne, schreibt Fernando Arnaboldi im Blog von Ioactive.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. KION Group AG, Frankfurt am Main

Demnach zeigt zwar Drupal 6 noch eine Warnung an, falls die automatische Aktualisierung fehlgeschlagen ist, in den Version 7 und 8 hingegen fehle diese Warnung. Drupal meldet stattdessen, dass keine Aktualisierungen vorlägen. Darüber hinaus sei die manuelle Prüfung nach Updates aus Drupal 6 und 7 heraus anfällig für eine sogenannte Cross-Site-Request-Forgery.

So könnten Angreifer jederzeit die Suche nach Updates gegen den Willen des Administrators forcieren und so sehr viel Netzwerkverkehr erzeugen. Ist die Anbindung des betroffenen Drupal-Hosts wesentlich kleiner als die der Update-Server von Drupal selbst könnte so ein Denial-of-Service (DoS) erzeugt werden. Ebenso könnte durch das gezielte Starten sehr vieler Abfragen auf verschiedenen Drupal-Instanzen ein DoS-Angriff auf die Update-Server von Drupal gestartet werden.

Unverschlüsselte, nicht-verifizierte Updates

Wesentlich schwerwiegender als die zwei genannten Probleme ist jedoch, dass die automatischen Updates bei Drupal laut Arnaboldi vollkommen unverschlüsselt übertragen werden und deren Integrität außerdem nicht überprüft wird. Über einen Man-in-the-Middle-Angriff könnte so Malware auf dem Hostrechner installiert werden.

Dies ist auch über den Update-Prozess einzelner Module für Drupal möglich. Mit der entsprechenden Schadsoftware könnten so die Zugangsdaten der Drupal-Datenbank ausgelesen werden. Arnaboldi zufolge diskutierte das Drupal-Team bereits im Jahr 2012 Angriffsszenarien, die sich aus dem schlecht gesicherten Update-Prozess ergeben. Nach einer erneuten Meldung des Problems durch den Sicherheitsforscher kümmere sich das Sicherheitsteam von Drupal nun aber um eine Lösung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

Karmageddon 10. Jan 2016

M.E. gab es keine automatische Aktualisierung in Drupal 6. Da musste man sowohl Module...


Folgen Sie uns
       


Death Stranding - Fazit

Das Actionspiel Death Stranding schickt uns in eine düstere Welt voller Gefahren - und langer Wanderungen. Das aktuelle Werk von Stardesigner Hideo Kojima erscheint für Playstation 4 und Mitte 2020 für Windows-PC.

Death Stranding - Fazit Video aufrufen
Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

    •  /