• IT-Karriere:
  • Services:

Extrem kritische Lücke: Beliebige Nutzer können Drupal-Installationen manipulieren

Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten umgehend patchen.
Drupal-Nutzer sollten umgehend patchen. (Bild: Drupal)

Drupal hat ein Sicherheitsupdate für eine nach eigener Aussage "hochkritische" Sicherheitslücke bereitgestellt. Das Problem mit der Bezeichnung CVE-2018-7600 ermöglicht beliebigen Nutzern die Ausführung von Code aus der Ferne (Remote Code Execution, RCE). Technische Details gibt es bislang nicht, das Drupal-Team warnt allerdings, dass innerhalb weniger Stunden bis Tage ein Exploit entwickelt werden könnte, um bestehende Installationen anzugreifen.

Stellenmarkt
  1. Technische Universität Dresden, Dresden
  2. BSH Hausgeräte GmbH, München

Betroffen sind alle Drupal-Versionen mit den Versionsnummern 7.X und 8.X. Nutzer sollten umgehend auf Drupal 7.58 oder Drupal 8.5.1. patchen. Alternativ steht auch ein begrenzter Patch zum Download bereit. Außer der Reihe werden zudem die eigentlich nicht mehr unterstützten Versionen 8.3.x und 8.4 gepatcht. Drupal empfiehlt natürlich trotzdem, nach Einspielen des Patches auf eine unterstützte Version des Content Management Systems (CMS) zu wechseln. Ebenfalls betroffen ist Drupal in der Version 6, die nicht mehr unterstützt wird. Es gibt allerdings Hersteller, die eine begrenzte Langzeitunterstützung anbieten.

Eine Million Seiten betroffen

Die Sicherheitslücke wurde von Jasper Mattson entdeckt. Technische Details gibt es bislang wegen der hohen Exploit-Gefahr nicht. Nach Angaben von Drupal nutzen neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.

In den FAQ zu der Sicherheitslücke heißt es, dass das Ausnutzen der Sicherheitslücke sehr einfach sei und alle nichtöffentlichen Daten einer Webseite dadurch kompromittiert werden könnten. Nutzer können ihre eigene Seite mit dem Werkzeug The Security Review auf Probleme in der Konfiguration überprüfen lassen. Drupal empfiehlt außerdem die Nutzung von Zwei-Faktor-Authentifizierung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 16,29€
  2. 17,49€
  3. (u. a. Star Wars Jedi: Fallen Order für 23,99€, Star Wars: Squadrons für 18,99€, Star Wars...
  4. (u. a. Medieval Dynasty Deluxe Edition für 19,99€, 1954 Alcatraz für 0,99€, Milanoir für 5...

Cybso 03. Apr 2018

Is klar... https://wordpress.org/news/category/security/

pioneer 03. Apr 2018

Sorry, war über's Wochenende in Urlaub. Falls es Dich noch interessiert: Clean Code ist...

Cybso 29. Mär 2018

"powered by drupal"?

Cybso 29. Mär 2018

Alle. Laut FAQ tritt das Problem schon beim Bootstrapping auf, weswegen die Seite sogar...


Folgen Sie uns
       


Audi E Tron GT Probe gefahren

Der E-Tron GT ist die Oberklasse-Limousine von Audi. Golem.de ist das Elektroauto Probe gefahren.

Audi E Tron GT Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /