Security: Schwere Sicherheitslücke in Drupal 7

Im Content-Management-System Drupal 7 ist eine schwere Sicherheitslücke, über die sich Angreifer Zugriff auf eine gesamte Webseite verschaffen können. Die Lücke ist in der API , die solche Angriffe eigentlich verhindern soll. Ein Update gibt es bereits.

16. Oktober 2014 um 16:23 Uhr / Jörg Thoma

20 Kommentare undefined News folgen (öffnet im neuen Fenster)

In Drupal 7 ist eine schwere Sicherheitslücke. (Bild: Drupal) — In Drupal 7 ist eine schwere Sicherheitslücke. Bild: Drupal

Im weit verbreiteten Open-Source-CMS Drupal 7 ist eine schwere Sicherheitslücke(öffnet im neuen Fenster) , die es Angreifern erlaubt, ohne Authentifizierung die Kontrolle über das gesamte CMS zu erhalten. Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in der Abstraktions-API ist, die solche Angriffe eigentlich verhindern soll. Die Schwachstelle besteht seit mehr als einem Jahr und war den Entwicklern wohl bekannt. Erst ein externes Sicherheitsunternehmen erkannte deren Brisanz.

Laut dem deutschen Sicherheitsunternehmen SektionEins(öffnet im neuen Fenster) lassen sich beliebige SQL-Eingaben ohne Authentifizierung über die Schwachstelle absetzen. Damit ließe sich die hinter der Abstraktions-API liegende Datenbank abfragen und manipulieren. Damit sind unter Umständen auch Benutzerdaten zugänglich, die auf die Webseite zugreifen. Es lässt sich aber auch PHP-Code einschleusen oder weitere Angriffe fahren. So könnte eine Webseite mit Malware infiziert werden, die über den Webbrowser eines Benutzers weitere Rechner infizieren könnte.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Softwareentwickler:in / Programmierer:in (w/m/d) in der Projektförderung Projektträger Jülich, Jülich (öffnet im neuen Fenster)

CAD/CAM-Engineer / Arbeitsvorbereiter / Techniker / Mechatroniker (m/w/d) contag AG, Berlin (öffnet im neuen Fenster)

Auszubildender (m/w/d) als Fachinformatiker Systemintegration MSD Animal Health, Unterschleißheim (öffnet im neuen Fenster)

Referent Informationssicherheit und Datenschutz (m/w/d) Kreissparkasse Ostalb, Aalen (öffnet im neuen Fenster)

IT-Systemadministrator/-techniker (m/w/d) ALBOMED GmbH, Unna (öffnet im neuen Fenster)

Product Owner GenAI-Platform (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)

IT Application Support Specialist (m/w/d) CREALOGIX (Deutschland) GmbH, Coburg,Stuttgart,Jever (öffnet im neuen Fenster)

Senior Full Stack Developer (m/w/d) WESTPRESS GmbH & Co. KG Werbeagentur, Hamm (öffnet im neuen Fenster)

Brisanterweise existiert die Lücke in Drupal 7 wohl schon seit Monaten. Zumindest wurde sie im November 2013 ins Ticketsystem des CMS eingetragen(öffnet im neuen Fenster) . Allerdings erkannten die Entwickler dort nicht, wie gravierend die Schwachstelle ist. Erst als SektionEins Mitte September 2014 Alarm schlug, schlossen die Drupal-Entwickler die Schwachstelle. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat. Drupal ist recht weit verbreitet, Experten gehen davon aus dass die Software von etwa 900.000 Webseiten genutzt wird.

Zur Startseite 20 Kommentare

Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

IT-Sicherheit: Wie ich mein Passwort im Stack Trace fand

Unser Autor hat versehentlich das MySQL-Passwort seiner Webseite veröffentlicht. Hier schreibt er, wie es dazu kam. Er berichtet, warum Fehler selbst dann passieren, wenn man denkt, alle Sicherheitsmaßnahmen umgesetzt zu haben und warum es in PHP zu einfach ist, derartige Fehler zu produzieren.

Relevante Themen