Abo
  • Services:
Anzeige
In Drupal 7 befindet sich eine schwere Sicherheitslücke.
In Drupal 7 befindet sich eine schwere Sicherheitslücke. (Bild: Drupal)

Sicherheitslücke: Drupal-Team warnt erneut vor Folgen

In Drupal 7 befindet sich eine schwere Sicherheitslücke.
In Drupal 7 befindet sich eine schwere Sicherheitslücke. (Bild: Drupal)

Wer seine Drupal-Installation nicht innerhalb von sechs Stunden nach Bekanntgabe der kürzlich entdeckten Sicherheitslücke gepatcht hat, sollte sein System als kompromittiert betrachten, warnt das Drupal-Team.

Anzeige

Die kürzlich entdeckte Sicherheitslücke im Content Management System Drupal könne weiterhin schwere Folgen haben, warnt das Entwicklerteam. Wer das System nicht innerhalb von sechs Stunden nach Bekanntgabe der Lücke aktualisiert hat, sollte es komplett neu aufsetzen. Denn Angreifer hätten kurz nach der Veröffentlichung bereits nach unsicheren Systemen gesucht. Die Sicherheitslücke erlaubte einen uneingeschränkten Zugriff auf eine Drupal-Installation.

Drupal-Anwender sollten ihre Systeme auch als kompromittiert einstufen, wenn das CMS ohne ihr eigenes Zutun auf eine sichere Version aktualisiert worden sei, warnte das Drupal-Team. Es gebe bereits Fälle, wonach die Angreifer das System selbst abgesichert hatten, etwa, damit sich nicht andere Angreifer einnisten oder der Angegriffene keinen Verdacht schöpft.

Erste Angriffe erfolgten unmittelbar

Erste Scans nach unsicheren Systemen hätten bereits kurz nach der Veröffentlichung begonnen. Die ersten kompromittierten Systeme seien bereits etwa sechs Stunden später registriert worden. Es reiche daher nicht, wenn eine Drupal-Installation nachträglich aktualisiert wurde, Angreifer hätten sich unter Umständen bereits Zugriff verschafft und etwa Passwörter ausgelesen, mit denen sie auch danach Zugriff auf das CMS haben.

Anwendern wird geraten, zunächst das gesamte System vom Netz zu nehmen. Anschließend sollten in einer frisch aufgesetzten Drupal-Installation sämtliche Inhalte aus einem Backup eingespielt werden, das vor dem 14. Oktober 2014 erstellt wurde. Bevor das CMS wieder ans Netz geht, sollten dann die Aktualisierungen eingespielt und auch Passwörter geändert werden.

Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in dem Abstraktions-API ist, das solche Angriffe eigentlich verhindern soll. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat.


eye home zur Startseite
bstea 30. Okt 2014

https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection...



Anzeige

Stellenmarkt
  1. echion Corporate Communication AG, Augsburg
  2. bib International College, Paderborn, Bielefeld
  3. über Hays AG, Hamburg
  4. OPERATIONAL SERVICES GMBH & CO. KG, Frankfurt


Anzeige
Spiele-Angebote
  1. (-10%) 53,99€
  2. 10,99€
  3. 499,99€

Folgen Sie uns
       


  1. Tele Columbus

    1 GBit würden "gegenwärtig nur die Nerds buchen"

  2. Systemkamera

    Leica CL verbindet Retro-Design mit neuester Technik

  3. Android

    Google bekommt Standortdaten auch ohne GPS-Aktivierung

  4. Kabelnetz

    Primacom darf Kundendaten nicht weitergeben

  5. SX-10 Aurora Tsubasa

    NECs Beschleuniger nutzt sechs HBM2-Stacks

  6. Virtual Reality

    Huawei und TPCast wollen VR mit 5G streamen

  7. Wayland-Desktop

    Nvidia bittet um Mitarbeit an Linux-Speicher-API

  8. Kabelnetz

    Vodafone liefert Kabelradio-Receiver mit Analogabschaltung

  9. Einigung erzielt

    EU verbietet Geoblocking im Online-Handel

  10. Unitymedia

    Discounter Eazy kommt technisch nicht an das TV-Kabelnetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Coffee Lake vs. Ryzen: Was CPU-Multitasking mit Spielen macht
Coffee Lake vs. Ryzen
Was CPU-Multitasking mit Spielen macht
  1. Custom Foundry Intel will 10-nm-Smartphone-SoCs ab 2018 produzieren
  2. ARM-Prozessoren Macom verkauft Applied Micro
  3. Apple A11 Bionic KI-Hardware ist so groß wie mehrere CPU-Kerne

Smartphone-Kameras im Test: Die beste Kamera ist die, die man dabeihat
Smartphone-Kameras im Test
Die beste Kamera ist die, die man dabeihat
  1. Honor 7X Smartphone im 2:1-Format mit verbesserter Dual-Kamera
  2. Mini-Smartphone Jelly im Test Winzig, gewöhnungsbedürftig, nutzbar
  3. Leia RED verrät Details zum Holo-Display seines Smartphones

Xbox One X im Test: Schöner, schwerer Stromfresser
Xbox One X im Test
Schöner, schwerer Stromfresser
  1. Microsoft Xbox-Software und -Services wachsen um 21 Prozent
  2. Microsoft Xbox One emuliert 13 Xbox-Klassiker
  3. Microsoft Neue Firmware für Xbox One bietet mehr Übersicht

  1. Re: Recht hat er. Wichtiger als Geschwindigkeit...

    forenuser | 04:42

  2. Re: Ja, weil viel zu teuer

    forenuser | 04:33

  3. Re: Schnelles WLAN wäre wichtiger

    Gandalf2210 | 04:28

  4. Re: The machine that builds the machine

    Gamma Ray Burst | 03:47

  5. Re: Tesla rasiert alle weg

    Gamma Ray Burst | 03:40


  1. 20:00

  2. 18:28

  3. 18:19

  4. 17:51

  5. 16:55

  6. 16:06

  7. 15:51

  8. 14:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel