• IT-Karriere:
  • Services:

Extrem kritische Lücke: Beliebige Nutzer können Drupal-Installationen manipulieren

Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten umgehend patchen.
Drupal-Nutzer sollten umgehend patchen. (Bild: Drupal)

Drupal hat ein Sicherheitsupdate für eine nach eigener Aussage "hochkritische" Sicherheitslücke bereitgestellt. Das Problem mit der Bezeichnung CVE-2018-7600 ermöglicht beliebigen Nutzern die Ausführung von Code aus der Ferne (Remote Code Execution, RCE). Technische Details gibt es bislang nicht, das Drupal-Team warnt allerdings, dass innerhalb weniger Stunden bis Tage ein Exploit entwickelt werden könnte, um bestehende Installationen anzugreifen.

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr

Betroffen sind alle Drupal-Versionen mit den Versionsnummern 7.X und 8.X. Nutzer sollten umgehend auf Drupal 7.58 oder Drupal 8.5.1. patchen. Alternativ steht auch ein begrenzter Patch zum Download bereit. Außer der Reihe werden zudem die eigentlich nicht mehr unterstützten Versionen 8.3.x und 8.4 gepatcht. Drupal empfiehlt natürlich trotzdem, nach Einspielen des Patches auf eine unterstützte Version des Content Management Systems (CMS) zu wechseln. Ebenfalls betroffen ist Drupal in der Version 6, die nicht mehr unterstützt wird. Es gibt allerdings Hersteller, die eine begrenzte Langzeitunterstützung anbieten.

Eine Million Seiten betroffen

Die Sicherheitslücke wurde von Jasper Mattson entdeckt. Technische Details gibt es bislang wegen der hohen Exploit-Gefahr nicht. Nach Angaben von Drupal nutzen neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.

In den FAQ zu der Sicherheitslücke heißt es, dass das Ausnutzen der Sicherheitslücke sehr einfach sei und alle nichtöffentlichen Daten einer Webseite dadurch kompromittiert werden könnten. Nutzer können ihre eigene Seite mit dem Werkzeug The Security Review auf Probleme in der Konfiguration überprüfen lassen. Drupal empfiehlt außerdem die Nutzung von Zwei-Faktor-Authentifizierung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 599€
  2. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  3. 350,10€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  4. 599€ (mit Rabattcode "PRIMA10" - Bestpreis!)

Cybso 03. Apr 2018

Is klar... https://wordpress.org/news/category/security/

pioneer 03. Apr 2018

Sorry, war über's Wochenende in Urlaub. Falls es Dich noch interessiert: Clean Code ist...

Cybso 29. Mär 2018

"powered by drupal"?

Cybso 29. Mär 2018

Alle. Laut FAQ tritt das Problem schon beim Bootstrapping auf, weswegen die Seite sogar...


Folgen Sie uns
       


Cyberpunk 2077 angespielt

Cyberpunk 2077 dürfte ein angenehm forderndes und im positiven Sinne komplexes Abenteuer werden.

Cyberpunk 2077 angespielt Video aufrufen
Pinephone im Test: Das etwas pineliche Linux-Phone für Bastler
Pinephone im Test
Das etwas pineliche Linux-Phone für Bastler

Mit dem Pinephone gibt es endlich wieder ein richtiges Linux-Telefon, samt freier Treiber und ohne Android. Das Projekt scheitert aber leider noch an der Realität.
Ein Test von Sebastian Grüner

  1. Linux Mehr Multi-Touch-Support in Elementary OS 6
  2. Kernel Die Neuerungen im kommenden Linux 5.9
  3. VA-API Firefox bringt Linux-Hardwarebeschleunigung auch für X11

SSD vs. HDD: Die Zeit der Festplatte im Netzwerkspeicher läuft ab
SSD vs. HDD
Die Zeit der Festplatte im Netzwerkspeicher läuft ab

SSDs in NAS-Systemen sind lautlos, energieeffizient und schneller: Golem.de untersucht, ob es eine neue Referenz für Netzwerkspeicher gibt.
Ein Praxistest von Oliver Nickel

  1. Firecuda 120 Seagate bringt 4-TByte-SSD für Spieler

Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
Xbox, Playstation, Nvidia Ampere
Wo bleiben die HDMI-2.1-Monitore?

Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
Eine Analyse von Oliver Nickel

  1. AV-Receiver Fehlerhafte HDMI-2.1-Chips führen zu Blackscreen

    •  /