Abo
  • IT-Karriere:

CVE-2018-7600: Kritische Drupal-Lücke wird ausgenutzt

Wer seine Drupal-Installation noch nicht gepatcht hat, soll dies spätestens jetzt nachholen. Nach der Veröffentlichung weiterer Details und einem auf Twitter zirkulierenden Exploit-Code wurden erste Angriffe beobachtet.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten umgehend patchen.
Drupal-Nutzer sollten umgehend patchen. (Bild: Drupal)

Die als extrem kritisch eingestufte Sicherheitslücke im Content-Management-System Drupal wird nach Angaben der Sicherheitsfirma Sucuri ausgenutzt. Wer noch eine ungepatchte Drupal-Instanz nutzt, sollte unbedingt patchen. Verwundbar sind die Versionen 6 bis 8, das Team hatte sogar einige nicht mehr gepatchte Versionen mit einem Update versorgt. Die abgesicherten Versionen haben die Releasenummern 7.58 und 8.5.1.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. Fidor Solutions AG, München

Der Patch für das Problem war bereits Ende März veröffentlicht worden. Vor einigen Tagen war auf Twitter ein recht kurzer Exploit-String aufgetaucht, der die Ausnutzung der Sicherheitslücke ermöglicht. Das Problem hat die CVE-Nummer 2018-7600 und ermöglicht die Ausführung von Code aus der Ferne (Remote Code Execution, RCE).

Check Point veröffentlicht Details

Check Point hat ebenfalls in der vergangenen Woche Details zu der Lücke bekanntgegeben. Demnach liegt das Problem in der Drupal Form API (Fapi), die mit der Version 6 erstmals eingeführt wurde. Die Eingaben wurden jedoch nicht korrekt bereinigt ('sanitized'), bevor sie übergeben wurden. Aus diesem Grund könnte ein Angreifer in einigen Fällen Drupal dazu bringen, die Eingaben zu rendern und Code auszuführen. Nach Angaben von Check Point eignet sich für einen Angriff besonders das Formular zum Anlegen neuer Nutzer.

Die Sicherheitslücke wurde ursprünglich von Jasper Mattson entdeckt. Nach Angaben von Drupal nutzten zum Zeitpunkt der ersten Veröffentlichung rund neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.



Anzeige
Top-Angebote
  1. 19,99€
  2. 124,99€ (Bestpreis!)
  3. 61,80€
  4. (u. a. Football Manager 2019 für 17,99€, Car Mechanic Simulator 2018 für 7,99€, Forza Horizon...

Folgen Sie uns
       


Cepton Lidar angesehen

So funktioniert der Laserscanner des US-Startups Cepton.

Cepton Lidar angesehen Video aufrufen
IT-Headhunter: ReactJS- und PHP-Experten verzweifelt gesucht
IT-Headhunter
ReactJS- und PHP-Experten verzweifelt gesucht

Marco Nadol vermittelt für Hays selbstständige Informatiker, Programmierer und Ingenieure in Unternehmen. Aus langjähriger Erfahrung als IT-Headhunter weiß er mittlerweile sehr gut, was ihre Chancen auf dem Markt erhöht und was sie verschlechtert.
Von Maja Hoock

  1. Jobporträt Wenn die Software für den Anwalt kurzen Prozess macht
  2. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  3. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus 7 Der Nachfolger des Oneplus 6t kostet 560 Euro
  2. Android 9 Oneplus startet Pie-Beta für Oneplus 3 und 3T
  3. MWC 2019 Oneplus will Prototyp eines 5G-Smartphones zeigen

    •  /