Abo
  • Services:

Zero Day: Drupal-Seiten werden angegriffen

Schon wieder eine sehr kritische Drupal-Lücke: CVE-2018-7602 ermöglicht einem Angreifer die Übernahme von Drupal-Seiten. Erste Angriffe werden bereits nach wenigen Stunden registriert.

Artikel veröffentlicht am ,
Stilisiertes Drupal-Logo
Stilisiertes Drupal-Logo (Bild: Jasmin Schaitl/CC-BY 2.0)

Angreifer haben nur wenige Stunden nach Bekanntwerden einer erneuten kritischen Sicherheitslücke im Content-Management-System (CMS) Drupal begonnen, den Bug für Attacken auszunutzen. Sie nutzen dabei Code eines Proof-of-Concepts, der online verfügbar ist.

Stellenmarkt
  1. ESO Education Group, Deutschland
  2. Beckhoff Automation GmbH & Co. KG, Balingen

"Wir sehen defintiv Proof-of-Concept-Exploits, die online veröffentlicht werden", sagte Greg Knaddison vom Drupal-Team Ars Technica. Immerhin kann der Angriff noch nicht automatisiert durchgeführt werden, weil er von zahlreichen Variablen auf der angegriffenen Drupal-Seite abhängt. Erfolgreiche Übernahmen verwundbarer Seiten soll es aber bislang noch nicht gegeben haben.

Die Sicherheitslücke CVE-2018-7602 ermöglicht einem Angreifer die Ausführung beliebigen Codes aus der Ferne. Es handelt sich um den zweiten kritischen Fehler in Drupal binnen weniger Wochen. Betroffen sind die Versionen 7.x und 8.x. Die neue Sicherheitslücke soll mit der als "Druppalgeddon 2" bekanntgewordenen Lücke "verwandt" sein.

Angreifer muss authentifiziert sein

Drupal selbst stellt keine weiteren Details zu dem Problem zur Verfügung. Wie bei Druppalgeddon2 soll auch bei diesem Bug eine fehlende Bereinigung eingegebener Werte ("sanitization") für die Probleme verantwortlich sein. Für den derzeit kursierenden Code muss ein Nutzer authentifiziert sein und über die Berechtigung verfügen, Nodes zu löschen.

Die aktuellen und nicht verwundbaren Versionen sind Drupal 7.59 und 8.5.3. Auch für die eigentlich nicht mehr unterstützte Version 8.4 steht mit der Versionszahl 8.4.8 ein Patch bereit. Aufgrund der Angriffe sollten die Updates umgehend eingespielt werden.



Anzeige
Spiele-Angebote
  1. 39,99€ (Release 14.11.)
  2. (-68%) 12,99€
  3. 17,95€

Apfelbrot 26. Apr 2018

Finde ich im Vergleich zu Whitesmith nicht so toll lesbar.

Cybso 26. Apr 2018

Die Rechteverwaltung von Drupal ist sehr flexibel, "Authentifiziert" muss nicht gleich...


Folgen Sie uns
       


Hitman 2 - Fazit

Wer ist Agent 47 - und warum ist er so ein perfekter Auftragskiller? Einer Antwort kommen Spieler auch in Hitman 2 unter Umständen nicht näher, dafür erleben sie mit dem Glatzkopf aber spannend und komplexe Abenteuer in schön gestalteten, sehr aufwendigen Einsätzen.

Hitman 2 - Fazit Video aufrufen
E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

Mobile-Games-Auslese: Tinder auf dem Eisernen Thron - für unterwegs
Mobile-Games-Auslese
Tinder auf dem Eisernen Thron - für unterwegs

Fantasy-Fanservice mit dem gelungenen Reigns - Game of Thrones, Musikpuzzles in Eloh und Gehirnjogging in Euclidean Skies: Die neuen Mobile Games für iOS und Android bieten Spaß für jeden Geschmack.
Von Rainer Sigl

  1. Mobile Gaming Microsoft Research stellt Gamepads für das Smartphone vor
  2. Mobile-Games-Auslese Bezahlbare Drachen und dicke Bären
  3. Mobile-Games-Auslese Städtebau und Lebenssimulation für unterwegs

Battlefield 5 im Test: Klasse Kämpfe unter Freunden
Battlefield 5 im Test
Klasse Kämpfe unter Freunden

Umgebungen und Szenario erinnern an frühere Serienteile, das Sammeln von Ausrüstung motiviert langfristig, viele Gebiete sind zerstörbar: Battlefield 5 setzt auf Multiplayermatches für erfahrene Squads. Wer lange genug kämpft, findet schon vor der Erweiterung Firestorm ein bisschen Battle Royale.

  1. Dice Raytracing-Systemanforderungen für Battlefield 5 erschienen
  2. Dice Zusatzinhalte für Battlefield 5 vorgestellt
  3. Battle Royale Battlefield 5 schickt 64 Spieler in Feuerring

    •  /