Abo
  • Services:

Sicherheitslücke: Drupal-Team warnt erneut vor Folgen

Wer seine Drupal-Installation nicht innerhalb von sechs Stunden nach Bekanntgabe der kürzlich entdeckten Sicherheitslücke gepatcht hat, sollte sein System als kompromittiert betrachten, warnt das Drupal-Team.

Artikel veröffentlicht am ,
In Drupal 7 befindet sich eine schwere Sicherheitslücke.
In Drupal 7 befindet sich eine schwere Sicherheitslücke. (Bild: Drupal)

Die kürzlich entdeckte Sicherheitslücke im Content Management System Drupal könne weiterhin schwere Folgen haben, warnt das Entwicklerteam. Wer das System nicht innerhalb von sechs Stunden nach Bekanntgabe der Lücke aktualisiert hat, sollte es komplett neu aufsetzen. Denn Angreifer hätten kurz nach der Veröffentlichung bereits nach unsicheren Systemen gesucht. Die Sicherheitslücke erlaubte einen uneingeschränkten Zugriff auf eine Drupal-Installation.

Stellenmarkt
  1. Nordkurier Logistik Berlin GmbH & Co. KG, Berlin
  2. AOK - Die Gesundheitskasse für Niedersachsen, Hannover

Drupal-Anwender sollten ihre Systeme auch als kompromittiert einstufen, wenn das CMS ohne ihr eigenes Zutun auf eine sichere Version aktualisiert worden sei, warnte das Drupal-Team. Es gebe bereits Fälle, wonach die Angreifer das System selbst abgesichert hatten, etwa, damit sich nicht andere Angreifer einnisten oder der Angegriffene keinen Verdacht schöpft.

Erste Angriffe erfolgten unmittelbar

Erste Scans nach unsicheren Systemen hätten bereits kurz nach der Veröffentlichung begonnen. Die ersten kompromittierten Systeme seien bereits etwa sechs Stunden später registriert worden. Es reiche daher nicht, wenn eine Drupal-Installation nachträglich aktualisiert wurde, Angreifer hätten sich unter Umständen bereits Zugriff verschafft und etwa Passwörter ausgelesen, mit denen sie auch danach Zugriff auf das CMS haben.

Anwendern wird geraten, zunächst das gesamte System vom Netz zu nehmen. Anschließend sollten in einer frisch aufgesetzten Drupal-Installation sämtliche Inhalte aus einem Backup eingespielt werden, das vor dem 14. Oktober 2014 erstellt wurde. Bevor das CMS wieder ans Netz geht, sollten dann die Aktualisierungen eingespielt und auch Passwörter geändert werden.

Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in dem Abstraktions-API ist, das solche Angriffe eigentlich verhindern soll. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat.



Anzeige
Top-Angebote
  1. 99,99€ + USK-18-Versand
  2. (Define R6 für 94,90€ + Versand und mit Sichtfenster für 109,90€ + Versand)
  3. 105,89€ (Bestpreis!)
  4. 1.399€ (Vergleichspreis 1.666€)

bstea 30. Okt 2014

https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection...


Folgen Sie uns
       


Reflections Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti)

Wir haben die Reflections Raytracing Demo auf einer Nvidia Geforce RTX 2080 Ti und auf einer GTX 1080 Ti ablaufen lassen.

Reflections Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti) Video aufrufen
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

Network Slicing: 5G gefährdet die Netzneutralität - oder etwa nicht?
Network Slicing
5G gefährdet die Netzneutralität - oder etwa nicht?

Ein Digitalexperte warnt vor einem "deutlichen Spannungsverhältnis" zwischen der technischen Basis des kommenden Mobilfunkstandards 5G und dem Prinzip des offenen Internets. Die Bundesnetzagentur gibt dagegen vorläufig Entwarnung.
Ein Bericht von Stefan Krempl

  1. Frequenzauktion Auch die SPD will ein erheblich besseres 5G-Netz
  2. T-Mobile US Deutsche Telekom gibt 3,5 Milliarden US-Dollar für 5G aus
  3. Ericsson Swisscom errichtet standardisiertes 5G-Netz in Burgdorf

    •  /