Abo
  • Services:
Anzeige
In Drupal 7 befindet sich eine schwere Sicherheitslücke.
In Drupal 7 befindet sich eine schwere Sicherheitslücke. (Bild: Drupal)

Sicherheitslücke: Drupal-Team warnt erneut vor Folgen

In Drupal 7 befindet sich eine schwere Sicherheitslücke.
In Drupal 7 befindet sich eine schwere Sicherheitslücke. (Bild: Drupal)

Wer seine Drupal-Installation nicht innerhalb von sechs Stunden nach Bekanntgabe der kürzlich entdeckten Sicherheitslücke gepatcht hat, sollte sein System als kompromittiert betrachten, warnt das Drupal-Team.

Anzeige

Die kürzlich entdeckte Sicherheitslücke im Content Management System Drupal könne weiterhin schwere Folgen haben, warnt das Entwicklerteam. Wer das System nicht innerhalb von sechs Stunden nach Bekanntgabe der Lücke aktualisiert hat, sollte es komplett neu aufsetzen. Denn Angreifer hätten kurz nach der Veröffentlichung bereits nach unsicheren Systemen gesucht. Die Sicherheitslücke erlaubte einen uneingeschränkten Zugriff auf eine Drupal-Installation.

Drupal-Anwender sollten ihre Systeme auch als kompromittiert einstufen, wenn das CMS ohne ihr eigenes Zutun auf eine sichere Version aktualisiert worden sei, warnte das Drupal-Team. Es gebe bereits Fälle, wonach die Angreifer das System selbst abgesichert hatten, etwa, damit sich nicht andere Angreifer einnisten oder der Angegriffene keinen Verdacht schöpft.

Erste Angriffe erfolgten unmittelbar

Erste Scans nach unsicheren Systemen hätten bereits kurz nach der Veröffentlichung begonnen. Die ersten kompromittierten Systeme seien bereits etwa sechs Stunden später registriert worden. Es reiche daher nicht, wenn eine Drupal-Installation nachträglich aktualisiert wurde, Angreifer hätten sich unter Umständen bereits Zugriff verschafft und etwa Passwörter ausgelesen, mit denen sie auch danach Zugriff auf das CMS haben.

Anwendern wird geraten, zunächst das gesamte System vom Netz zu nehmen. Anschließend sollten in einer frisch aufgesetzten Drupal-Installation sämtliche Inhalte aus einem Backup eingespielt werden, das vor dem 14. Oktober 2014 erstellt wurde. Bevor das CMS wieder ans Netz geht, sollten dann die Aktualisierungen eingespielt und auch Passwörter geändert werden.

Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in dem Abstraktions-API ist, das solche Angriffe eigentlich verhindern soll. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat.


eye home zur Startseite
bstea 30. Okt 2014

https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection...



Anzeige

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  2. CompuGroup Medical Dentalsysteme GmbH, München, Kassel, Düsseldorf
  3. ROHDE & SCHWARZ GmbH & Co. KG, München
  4. OPERATIONAL SERVICES GMBH & CO. KG, Frankfurt


Anzeige
Spiele-Angebote
  1. 9,99€
  2. 49,99€
  3. 9,99€

Folgen Sie uns
       


  1. Platooning

    Daimler fährt in den USA mit Lkw im autonomen Konvoi

  2. Suchmaschine

    Apple stellt Siri auf Google um

  3. Gruppenchat

    Skype for Business wird durch Microsoft Teams ersetzt

  4. Teardown

    iFixit findet größeren Akku in Apple Watch Series 3

  5. Coffee Lake

    Intel verkauft sechs Kerne für unter 200 Euro

  6. MacOS 10.13

    Apple gibt High Sierra frei

  7. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  8. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  9. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  10. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro

Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

  1. Re: Wie oft wollen sie den noch ersetzen

    Hakuro | 09:10

  2. Re: Wie jetzt 18 Tage?

    Nof | 09:10

  3. Re: Fehler?

    ad (Golem.de) | 09:09

  4. Re: Habe ich mir schon lange gedacht.

    Bautz | 09:08

  5. Re: Wenn es mit der Suchfunktion so gut wie bei...

    Bautz | 09:06


  1. 09:11

  2. 08:57

  3. 07:51

  4. 07:23

  5. 07:08

  6. 19:40

  7. 19:00

  8. 17:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel