Abo
  • Services:

Security: Schwere Sicherheitslücke in Drupal 7

Im Content-Management-System Drupal 7 ist eine schwere Sicherheitslücke, über die sich Angreifer Zugriff auf eine gesamte Webseite verschaffen können. Die Lücke ist in der API, die solche Angriffe eigentlich verhindern soll. Ein Update gibt es bereits.

Artikel veröffentlicht am ,
In Drupal 7 ist eine schwere Sicherheitslücke.
In Drupal 7 ist eine schwere Sicherheitslücke. (Bild: Drupal)

Im weit verbreiteten Open-Source-CMS Drupal 7 ist eine schwere Sicherheitslücke, die es Angreifern erlaubt, ohne Authentifizierung die Kontrolle über das gesamte CMS zu erhalten. Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in der Abstraktions-API ist, die solche Angriffe eigentlich verhindern soll. Die Schwachstelle besteht seit mehr als einem Jahr und war den Entwicklern wohl bekannt. Erst ein externes Sicherheitsunternehmen erkannte deren Brisanz.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Laut dem deutschen Sicherheitsunternehmen SektionEins lassen sich beliebige SQL-Eingaben ohne Authentifizierung über die Schwachstelle absetzen. Damit ließe sich die hinter der Abstraktions-API liegende Datenbank abfragen und manipulieren. Damit sind unter Umständen auch Benutzerdaten zugänglich, die auf die Webseite zugreifen. Es lässt sich aber auch PHP-Code einschleusen oder weitere Angriffe fahren. So könnte eine Webseite mit Malware infiziert werden, die über den Webbrowser eines Benutzers weitere Rechner infizieren könnte.

Brisanterweise existiert die Lücke in Drupal 7 wohl schon seit Monaten. Zumindest wurde sie im November 2013 ins Ticketsystem des CMS eingetragen. Allerdings erkannten die Entwickler dort nicht, wie gravierend die Schwachstelle ist. Erst als SektionEins Mitte September 2014 Alarm schlug, schlossen die Drupal-Entwickler die Schwachstelle. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat. Drupal ist recht weit verbreitet, Experten gehen davon aus dass die Software von etwa 900.000 Webseiten genutzt wird.



Anzeige
Hardware-Angebote
  1. 1.299,00€
  2. 399€ (Vergleichspreis ab 467€)
  3. täglich neue Deals bei Alternate.de

C_Logemann 19. Apr 2015

Gerade die Mitte Oktober 2014 geschlossene Sicherheitslücke konnte massiv ausgenutzt...

SvenK. 17. Okt 2014

Da kann man auch nichts schönreden. Von März bis Oktober! Ich möchte nicht wissen...

jt (Golem.de) 16. Okt 2014

Örks. Ein Zahlendreher. Danke für das Feedback.


Folgen Sie uns
       


Need for Speed 3 Hot Pursuit (1998) - Golem retro_

Diese Episode Golem retro_ beleuchtet Need for Speed 3 Hot Pursuit aus dem Jahre 1998. Der dritte Serienteil gilt bis heute bei den Fans als unerreicht gut.

Need for Speed 3 Hot Pursuit (1998) - Golem retro_ Video aufrufen
Landwirtschafts-Simulator auf dem C64: Auf zum Pixelernten!
Landwirtschafts-Simulator auf dem C64
Auf zum Pixelernten!

In der Collector's Edition des Landwirtschafts-Simulators 19 ist das Spiel gleich zwei Mal enthalten - einmal für den PC und einmal für den C64. Wir haben die Version für Commodores Heimcomputer auf unserem Redaktions-C64 gespielt, stilecht von der Cartridge geladen.
Ein Test von Tobias Költzsch

  1. Giants Software Ländliche Mods auf Playstation und Xbox

Smartphone-Kaufberatung: Viel Smartphone für wenig Geld
Smartphone-Kaufberatung
Viel Smartphone für wenig Geld

Auch zum diesjährigen Weihnachtsfest verschenken sicher viele Menschen Smartphones - oder wünschen sich selbst eins. Der Markt ist so groß wie unüberschaubar. Wir haben 2018 viele getestet und geben Empfehlungen für Geräte unter 300 Euro.
Von Tobias Költzsch

  1. Smartphone-Kaufberatung Mehr Smartphone für mehr Geld
  2. CDU-Generalsekretärin Alle Behördengänge sollen am Smartphone erfolgen können
  3. Smartphone-Kameras im Vergleich Die Allrounder in der Hosentasche

Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    •  /