Abo
  • Services:

CVE-2018-7600: Kritische Drupal-Lücke wird ausgenutzt

Wer seine Drupal-Installation noch nicht gepatcht hat, soll dies spätestens jetzt nachholen. Nach der Veröffentlichung weiterer Details und einem auf Twitter zirkulierenden Exploit-Code wurden erste Angriffe beobachtet.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten umgehend patchen.
Drupal-Nutzer sollten umgehend patchen. (Bild: Drupal)

Die als extrem kritisch eingestufte Sicherheitslücke im Content-Management-System Drupal wird nach Angaben der Sicherheitsfirma Sucuri ausgenutzt. Wer noch eine ungepatchte Drupal-Instanz nutzt, sollte unbedingt patchen. Verwundbar sind die Versionen 6 bis 8, das Team hatte sogar einige nicht mehr gepatchte Versionen mit einem Update versorgt. Die abgesicherten Versionen haben die Releasenummern 7.58 und 8.5.1.

Stellenmarkt
  1. Verlag C.H.BECK, München-Schwabing
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Der Patch für das Problem war bereits Ende März veröffentlicht worden. Vor einigen Tagen war auf Twitter ein recht kurzer Exploit-String aufgetaucht, der die Ausnutzung der Sicherheitslücke ermöglicht. Das Problem hat die CVE-Nummer 2018-7600 und ermöglicht die Ausführung von Code aus der Ferne (Remote Code Execution, RCE).

Check Point veröffentlicht Details

Check Point hat ebenfalls in der vergangenen Woche Details zu der Lücke bekanntgegeben. Demnach liegt das Problem in der Drupal Form API (Fapi), die mit der Version 6 erstmals eingeführt wurde. Die Eingaben wurden jedoch nicht korrekt bereinigt ('sanitized'), bevor sie übergeben wurden. Aus diesem Grund könnte ein Angreifer in einigen Fällen Drupal dazu bringen, die Eingaben zu rendern und Code auszuführen. Nach Angaben von Check Point eignet sich für einen Angriff besonders das Formular zum Anlegen neuer Nutzer.

Die Sicherheitslücke wurde ursprünglich von Jasper Mattson entdeckt. Nach Angaben von Drupal nutzten zum Zeitpunkt der ersten Veröffentlichung rund neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.



Anzeige
Top-Angebote
  1. ab 219,00€ im PCGH-Preisvergleich
  2. Für 150€ kaufen und 75€ sparen
  3. (heute u. a. Aerocool P7-C1 Pro 99,90€, Asus ROG-Notebook 949,00€, Logitech G903 Maus 104,90€)

Folgen Sie uns
       


i-Cristal autonomer Bus - Interview (englisch)

Der nächste Schritt steht an: Der französische Verkehrsbetrieb plant einen Test mit einem autonom fahenden Bus. Er soll Anfang 2020 in einer französischen Großstadt im normalen Verkehr fahren.

i-Cristal autonomer Bus - Interview (englisch) Video aufrufen
Augmented Reality: Das AR-Fabrikgelände aus dem Smartphone
Augmented Reality
Das AR-Fabrikgelände aus dem Smartphone

Derzeit ist viel von einer Augmented Reality Cloud die Rede. Golem.de hat mit dem Berliner Startup Visualix über den Stand der Technik und künftige Projekte für Unternehmenskunden gesprochen - und darüber, was die Neuerungen für Pokémon Go bedeuten könnten.
Ein Interview von Achim Fehrenbach

  1. Jarvish Motorradhelm bringt Alexa in den Kopf
  2. Patentantrag Apple plant Augmented-Reality in der Windschutzscheibe
  3. Magic Leap Lumin OS Erste Bilder des Betriebssystems für Augmented Reality

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
Neuer Echo Dot im Test
Amazon kann doch gute Mini-Lautsprecher bauen

Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
Ein Test von Ingo Pakalski


      •  /