• IT-Karriere:
  • Services:

Sicherheitslücke: Drupal-Team warnt erneut vor Folgen

Wer seine Drupal-Installation nicht innerhalb von sechs Stunden nach Bekanntgabe der kürzlich entdeckten Sicherheitslücke gepatcht hat, sollte sein System als kompromittiert betrachten, warnt das Drupal-Team.

Artikel veröffentlicht am ,
In Drupal 7 befindet sich eine schwere Sicherheitslücke.
In Drupal 7 befindet sich eine schwere Sicherheitslücke. (Bild: Drupal)

Die kürzlich entdeckte Sicherheitslücke im Content Management System Drupal könne weiterhin schwere Folgen haben, warnt das Entwicklerteam. Wer das System nicht innerhalb von sechs Stunden nach Bekanntgabe der Lücke aktualisiert hat, sollte es komplett neu aufsetzen. Denn Angreifer hätten kurz nach der Veröffentlichung bereits nach unsicheren Systemen gesucht. Die Sicherheitslücke erlaubte einen uneingeschränkten Zugriff auf eine Drupal-Installation.

Stellenmarkt
  1. über experteer GmbH, Stuttgart
  2. Hays AG, Ansbach

Drupal-Anwender sollten ihre Systeme auch als kompromittiert einstufen, wenn das CMS ohne ihr eigenes Zutun auf eine sichere Version aktualisiert worden sei, warnte das Drupal-Team. Es gebe bereits Fälle, wonach die Angreifer das System selbst abgesichert hatten, etwa, damit sich nicht andere Angreifer einnisten oder der Angegriffene keinen Verdacht schöpft.

Erste Angriffe erfolgten unmittelbar

Erste Scans nach unsicheren Systemen hätten bereits kurz nach der Veröffentlichung begonnen. Die ersten kompromittierten Systeme seien bereits etwa sechs Stunden später registriert worden. Es reiche daher nicht, wenn eine Drupal-Installation nachträglich aktualisiert wurde, Angreifer hätten sich unter Umständen bereits Zugriff verschafft und etwa Passwörter ausgelesen, mit denen sie auch danach Zugriff auf das CMS haben.

Anwendern wird geraten, zunächst das gesamte System vom Netz zu nehmen. Anschließend sollten in einer frisch aufgesetzten Drupal-Installation sämtliche Inhalte aus einem Backup eingespielt werden, das vor dem 14. Oktober 2014 erstellt wurde. Bevor das CMS wieder ans Netz geht, sollten dann die Aktualisierungen eingespielt und auch Passwörter geändert werden.

Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in dem Abstraktions-API ist, das solche Angriffe eigentlich verhindern soll. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Worms: Armageddon für 2,99€, Worms W.M.D für 7,50€, Worms Ultimate Mayhem für 2...
  2. (u. a. Code Vein für 21,99€, Dark Souls 3 - Deluxe Edition für 18,99€, Ni no Kuni 2: Revenant...
  3. 34,99€
  4. FIFA 21 Standard Edition PS4 (inkl. kostenlosem PS5-Upgrade) für 55€, FIFA 21 Standard Edition...

bstea 30. Okt 2014

https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection...


Folgen Sie uns
       


Monkey Island - Titelmusik aller Versionen

Wir haben alle Varianten der Titelmusik im Video zusammengestellt - plus Bonusversion.

Monkey Island - Titelmusik aller Versionen Video aufrufen
Serien & Filme: Star Wars - worauf wir uns freuen können
Serien & Filme
Star Wars - worauf wir uns freuen können

Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
Von Peter Osteried

  1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
  2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
  3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da

    •  /