• IT-Karriere:
  • Services:

CVE-2018-7600: Kritische Drupal-Lücke wird ausgenutzt

Wer seine Drupal-Installation noch nicht gepatcht hat, soll dies spätestens jetzt nachholen. Nach der Veröffentlichung weiterer Details und einem auf Twitter zirkulierenden Exploit-Code wurden erste Angriffe beobachtet.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten umgehend patchen.
Drupal-Nutzer sollten umgehend patchen. (Bild: Drupal)

Die als extrem kritisch eingestufte Sicherheitslücke im Content-Management-System Drupal wird nach Angaben der Sicherheitsfirma Sucuri ausgenutzt. Wer noch eine ungepatchte Drupal-Instanz nutzt, sollte unbedingt patchen. Verwundbar sind die Versionen 6 bis 8, das Team hatte sogar einige nicht mehr gepatchte Versionen mit einem Update versorgt. Die abgesicherten Versionen haben die Releasenummern 7.58 und 8.5.1.

Stellenmarkt
  1. ING Deutschland, Nürnberg
  2. Stadt Korntal-Münchingen, Korntal-Münchingen

Der Patch für das Problem war bereits Ende März veröffentlicht worden. Vor einigen Tagen war auf Twitter ein recht kurzer Exploit-String aufgetaucht, der die Ausnutzung der Sicherheitslücke ermöglicht. Das Problem hat die CVE-Nummer 2018-7600 und ermöglicht die Ausführung von Code aus der Ferne (Remote Code Execution, RCE).

Check Point veröffentlicht Details

Check Point hat ebenfalls in der vergangenen Woche Details zu der Lücke bekanntgegeben. Demnach liegt das Problem in der Drupal Form API (Fapi), die mit der Version 6 erstmals eingeführt wurde. Die Eingaben wurden jedoch nicht korrekt bereinigt ('sanitized'), bevor sie übergeben wurden. Aus diesem Grund könnte ein Angreifer in einigen Fällen Drupal dazu bringen, die Eingaben zu rendern und Code auszuführen. Nach Angaben von Check Point eignet sich für einen Angriff besonders das Formular zum Anlegen neuer Nutzer.

Die Sicherheitslücke wurde ursprünglich von Jasper Mattson entdeckt. Nach Angaben von Drupal nutzten zum Zeitpunkt der ersten Veröffentlichung rund neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 594€ (mit Rabattcode "YDENUEDR6CZQWFQM" - Bestpreis!)
  2. 350,10€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  3. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)

Folgen Sie uns
       


Microsoft Flight Simulator - Test

Hardwarehungriger Höhenflug: Der neue FluSi sieht fantastisch aus und spielt sich auch so.

Microsoft Flight Simulator - Test Video aufrufen
The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
    Xbox, Playstation, Nvidia Ampere
    Wo bleiben die HDMI-2.1-Monitore?

    Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
    Eine Analyse von Oliver Nickel

    1. AV-Receiver Fehlerhafte HDMI-2.1-Chips führen zu Blackscreen

    Pinephone im Test: Das etwas pineliche Linux-Phone für Bastler
    Pinephone im Test
    Das etwas pineliche Linux-Phone für Bastler

    Mit dem Pinephone gibt es endlich wieder ein richtiges Linux-Telefon, samt freier Treiber und ohne Android. Das Projekt scheitert aber leider noch an der Realität.
    Ein Test von Sebastian Grüner

    1. Linux Mehr Multi-Touch-Support in Elementary OS 6
    2. Kernel Die Neuerungen im kommenden Linux 5.9
    3. VA-API Firefox bringt Linux-Hardwarebeschleunigung auch für X11

      •  /