Extrem kritische Lücke: Beliebige Nutzer können Drupal-Installationen manipulieren

Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten umgehend patchen.
Drupal-Nutzer sollten umgehend patchen. (Bild: Drupal)

Drupal hat ein Sicherheitsupdate für eine nach eigener Aussage "hochkritische" Sicherheitslücke bereitgestellt. Das Problem mit der Bezeichnung CVE-2018-7600 ermöglicht beliebigen Nutzern die Ausführung von Code aus der Ferne (Remote Code Execution, RCE). Technische Details gibt es bislang nicht, das Drupal-Team warnt allerdings, dass innerhalb weniger Stunden bis Tage ein Exploit entwickelt werden könnte, um bestehende Installationen anzugreifen.

Stellenmarkt
  1. E-Commerce Manager (w/m/d) Produktdaten
    hagebau connect GmbH & Co. KG, , Hamburg
  2. DevOps Engineer (w/m/d)
    AVL List GmbH, Graz (Österreich)
Detailsuche

Betroffen sind alle Drupal-Versionen mit den Versionsnummern 7.X und 8.X. Nutzer sollten umgehend auf Drupal 7.58 oder Drupal 8.5.1. patchen. Alternativ steht auch ein begrenzter Patch zum Download bereit. Außer der Reihe werden zudem die eigentlich nicht mehr unterstützten Versionen 8.3.x und 8.4 gepatcht. Drupal empfiehlt natürlich trotzdem, nach Einspielen des Patches auf eine unterstützte Version des Content Management Systems (CMS) zu wechseln. Ebenfalls betroffen ist Drupal in der Version 6, die nicht mehr unterstützt wird. Es gibt allerdings Hersteller, die eine begrenzte Langzeitunterstützung anbieten.

Eine Million Seiten betroffen

Die Sicherheitslücke wurde von Jasper Mattson entdeckt. Technische Details gibt es bislang wegen der hohen Exploit-Gefahr nicht. Nach Angaben von Drupal nutzen neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.

In den FAQ zu der Sicherheitslücke heißt es, dass das Ausnutzen der Sicherheitslücke sehr einfach sei und alle nichtöffentlichen Daten einer Webseite dadurch kompromittiert werden könnten. Nutzer können ihre eigene Seite mit dem Werkzeug The Security Review auf Probleme in der Konfiguration überprüfen lassen. Drupal empfiehlt außerdem die Nutzung von Zwei-Faktor-Authentifizierung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Katastrophenschutz  
Endlich klingelt es am Warntag

Zwei Jahre nach dem ersten bundesweiten Warntag klingelt es dank Cell Broadcast deutschlandweit. An anderen Stellen fehlen weiterhin Warnmittel.

Katastrophenschutz: Endlich klingelt es am Warntag
Artikel
  1. Deepmind: Ist KI nun schlauer als bekannte Mathematiker?
    Deepmind
    Ist KI nun schlauer als bekannte Mathematiker?

    Künstliche Intelligenz hat einen neuen Rechenweg für Matrizen gefunden. Wir erklären im Detail, was genau Deepmind geschafft hat und warum weitere Durchbrüche zu erwarten sind.
    Von Matthias Müller-Brockhausen

  2. Google: Makromodus des Pixel 7 Pro lässt sich einfacher einstellen
    Google
    Makromodus des Pixel 7 Pro lässt sich einfacher einstellen

    Nach einem Kamera-Update lässt sich der Makromodus des Pixel 7 Pro besser manuell steuern. Google hat gleichzeitig die Double-Tap-Geste abgeschafft.

  3. Tesla-Fabrik: In Grünheide soll totales Chaos herrschen
    Tesla-Fabrik
    In Grünheide soll "totales Chaos" herrschen

    Die Tesla-Fabrik in Grünheide hinkt ihren Produktionszielen noch weit hinterher. Es gibt zu wenig Personal oder die Mitarbeiter kündigen wieder.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon • Samsung SSDs bis -28% • Rabatt-Code für ebay • Logitech Mäuse, Tastaturen & Headsets -53% • HyperX PC-Peripherie -56% • Google Pixel 6 & 7 -49% • PS5-Spiele günstiger • Tiefstpreise: Asus RTX 4080 1.640,90€, Roccat Kone Pro 39,99€, Asus RTX 6950 XT 939€ [Werbung]
    •  /