Extrem kritische Lücke: Beliebige Nutzer können Drupal-Installationen manipulieren

Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update.

Artikel veröffentlicht am ,
Drupal-Nutzer sollten umgehend patchen.
Drupal-Nutzer sollten umgehend patchen. (Bild: Drupal)

Drupal hat ein Sicherheitsupdate für eine nach eigener Aussage "hochkritische" Sicherheitslücke bereitgestellt. Das Problem mit der Bezeichnung CVE-2018-7600 ermöglicht beliebigen Nutzern die Ausführung von Code aus der Ferne (Remote Code Execution, RCE). Technische Details gibt es bislang nicht, das Drupal-Team warnt allerdings, dass innerhalb weniger Stunden bis Tage ein Exploit entwickelt werden könnte, um bestehende Installationen anzugreifen.

Stellenmarkt
  1. IT Systemadministrator (m/w/d)
    ESAB Welding & Cutting GmbH, Karben
  2. ERP Prozessmanager (m/w/d)
    UTT Technische Textilien GmbH & Co KG über Rainer Gerke PersonalManagement, Krumbach
Detailsuche

Betroffen sind alle Drupal-Versionen mit den Versionsnummern 7.X und 8.X. Nutzer sollten umgehend auf Drupal 7.58 oder Drupal 8.5.1. patchen. Alternativ steht auch ein begrenzter Patch zum Download bereit. Außer der Reihe werden zudem die eigentlich nicht mehr unterstützten Versionen 8.3.x und 8.4 gepatcht. Drupal empfiehlt natürlich trotzdem, nach Einspielen des Patches auf eine unterstützte Version des Content Management Systems (CMS) zu wechseln. Ebenfalls betroffen ist Drupal in der Version 6, die nicht mehr unterstützt wird. Es gibt allerdings Hersteller, die eine begrenzte Langzeitunterstützung anbieten.

Eine Million Seiten betroffen

Die Sicherheitslücke wurde von Jasper Mattson entdeckt. Technische Details gibt es bislang wegen der hohen Exploit-Gefahr nicht. Nach Angaben von Drupal nutzen neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.

In den FAQ zu der Sicherheitslücke heißt es, dass das Ausnutzen der Sicherheitslücke sehr einfach sei und alle nichtöffentlichen Daten einer Webseite dadurch kompromittiert werden könnten. Nutzer können ihre eigene Seite mit dem Werkzeug The Security Review auf Probleme in der Konfiguration überprüfen lassen. Drupal empfiehlt außerdem die Nutzung von Zwei-Faktor-Authentifizierung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bitcoin und Co.
Kryptowährungen stürzen ab

Bitcoin, Ether und andere Kryptowährungen haben ein schlechtes Wochenende hinter sich. Bitcoin liegt fast 20 Prozent unter dem Wert der Vorwoche.

Bitcoin und Co.: Kryptowährungen stürzen ab
Artikel
  1. Virtueller Netzbetreiber: Lycamobile ist in Deutschland insolvent
    Virtueller Netzbetreiber
    Lycamobile ist in Deutschland insolvent

    Lycamobile im Netz von Vodafone ist pleite. Der Versuch, über eine Tochter in Irland keine Umsatzsteuer in Deutschland zu zahlen, ist gescheitert.

  2. Arbeiten bei SAP: Nur die Gassi-App geht grad nicht
    Arbeiten bei SAP
    Nur die Gassi-App geht grad nicht

    SAP bietet seinen Mitarbeitern einiges. Manchen mag das zu viel sein, aber die geringe Fluktuation spricht für das Softwareunternehmen.
    Von Elke Wittich

  3. VATM: Telekommunikationsverband will Bundesnetzagentur aufspalten
    VATM
    Telekommunikationsverband will Bundesnetzagentur aufspalten

    Die beiden großen Telekommunikationsverbände VATM und Breko sind hinsichtlich einer Spaltung der Bundesnetzagentur gespalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional Werkzeug und Zubehör • Corsair Virtuoso RGB Wireless Gaming-Headset 187,03€ • Noiseblocker NB-e-Loop X B14-P ARGB 24,90€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • Alternate (u. a. Patriot Viper VPN100 2 TB SSD 191,90€) [Werbung]
    •  /