Abo
  • Services:

CVE-2018-7600: Kritische Drupal-Lücke wird ausgenutzt

Wer seine Drupal-Installation noch nicht gepatcht hat, soll dies spätestens jetzt nachholen. Nach der Veröffentlichung weiterer Details und einem auf Twitter zirkulierenden Exploit-Code wurden erste Angriffe beobachtet.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten umgehend patchen.
Drupal-Nutzer sollten umgehend patchen. (Bild: Drupal)

Die als extrem kritisch eingestufte Sicherheitslücke im Content-Management-System Drupal wird nach Angaben der Sicherheitsfirma Sucuri ausgenutzt. Wer noch eine ungepatchte Drupal-Instanz nutzt, sollte unbedingt patchen. Verwundbar sind die Versionen 6 bis 8, das Team hatte sogar einige nicht mehr gepatchte Versionen mit einem Update versorgt. Die abgesicherten Versionen haben die Releasenummern 7.58 und 8.5.1.

Stellenmarkt
  1. Hays AG, Raum Stuttgart
  2. IQ-Agrar Service GmbH, Osnabrück

Der Patch für das Problem war bereits Ende März veröffentlicht worden. Vor einigen Tagen war auf Twitter ein recht kurzer Exploit-String aufgetaucht, der die Ausnutzung der Sicherheitslücke ermöglicht. Das Problem hat die CVE-Nummer 2018-7600 und ermöglicht die Ausführung von Code aus der Ferne (Remote Code Execution, RCE).

Check Point veröffentlicht Details

Check Point hat ebenfalls in der vergangenen Woche Details zu der Lücke bekanntgegeben. Demnach liegt das Problem in der Drupal Form API (Fapi), die mit der Version 6 erstmals eingeführt wurde. Die Eingaben wurden jedoch nicht korrekt bereinigt ('sanitized'), bevor sie übergeben wurden. Aus diesem Grund könnte ein Angreifer in einigen Fällen Drupal dazu bringen, die Eingaben zu rendern und Code auszuführen. Nach Angaben von Check Point eignet sich für einen Angriff besonders das Formular zum Anlegen neuer Nutzer.

Die Sicherheitslücke wurde ursprünglich von Jasper Mattson entdeckt. Nach Angaben von Drupal nutzten zum Zeitpunkt der ersten Veröffentlichung rund neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.



Anzeige
Top-Angebote
  1. 119,90€
  2. für 1.124€ statt 1.319€
  3. und zusätzlich eine Prämie erhalten (u. a. Amazon-Gutschein, 30€ Barprämie oder Scythe Mugen 5...

Folgen Sie uns
       


Energiespeicher in der Cruijff Arena - Bericht

Die Ajax-Arena in Amsterdam wird komplett aus eigenen Akkureserven betrieben. Die USVen im Keller des Gebäudes werden von Solarzellen auf dem Dach und parkenden Elektroautos aufgeladen. Golem.de konnte sich das Konzept genauer anschauen.

Energiespeicher in der Cruijff Arena - Bericht Video aufrufen
Segelschiff: Das Vindskip steckt in der Flaute
Segelschiff
Das Vindskip steckt in der Flaute

Hochseeschiffe gelten als große Umweltverschmutzer. Neue saubere Antriebe sind gefragt. Der Norweger Terje Lade hat ein futuristisches Segelschiff entwickelt. Doch solch ein neuartiges Konzept umzusetzen, ist nicht so einfach.
Ein Bericht von Werner Pluta

  1. Energy Observer Toyota unterstützt Weltumrundung von Brennstoffzellenschiff
  2. Hyseas III Schottische Werft baut Hochseefähre mit Brennstoffzelle
  3. Kreuzschifffahrt Wie Brennstoffzellen Schiffe sauberer machen

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

    •  /