• IT-Karriere:
  • Services:

Zero Day: Drupal-Seiten werden angegriffen

Schon wieder eine sehr kritische Drupal-Lücke: CVE-2018-7602 ermöglicht einem Angreifer die Übernahme von Drupal-Seiten. Erste Angriffe werden bereits nach wenigen Stunden registriert.

Artikel veröffentlicht am ,
Stilisiertes Drupal-Logo
Stilisiertes Drupal-Logo (Bild: Jasmin Schaitl/CC-BY 2.0)

Angreifer haben nur wenige Stunden nach Bekanntwerden einer erneuten kritischen Sicherheitslücke im Content-Management-System (CMS) Drupal begonnen, den Bug für Attacken auszunutzen. Sie nutzen dabei Code eines Proof-of-Concepts, der online verfügbar ist.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Deloitte, Leipzig

"Wir sehen defintiv Proof-of-Concept-Exploits, die online veröffentlicht werden", sagte Greg Knaddison vom Drupal-Team Ars Technica. Immerhin kann der Angriff noch nicht automatisiert durchgeführt werden, weil er von zahlreichen Variablen auf der angegriffenen Drupal-Seite abhängt. Erfolgreiche Übernahmen verwundbarer Seiten soll es aber bislang noch nicht gegeben haben.

Die Sicherheitslücke CVE-2018-7602 ermöglicht einem Angreifer die Ausführung beliebigen Codes aus der Ferne. Es handelt sich um den zweiten kritischen Fehler in Drupal binnen weniger Wochen. Betroffen sind die Versionen 7.x und 8.x. Die neue Sicherheitslücke soll mit der als "Druppalgeddon 2" bekanntgewordenen Lücke "verwandt" sein.

Angreifer muss authentifiziert sein

Drupal selbst stellt keine weiteren Details zu dem Problem zur Verfügung. Wie bei Druppalgeddon2 soll auch bei diesem Bug eine fehlende Bereinigung eingegebener Werte ("sanitization") für die Probleme verantwortlich sein. Für den derzeit kursierenden Code muss ein Nutzer authentifiziert sein und über die Berechtigung verfügen, Nodes zu löschen.

Die aktuellen und nicht verwundbaren Versionen sind Drupal 7.59 und 8.5.3. Auch für die eigentlich nicht mehr unterstützte Version 8.4 steht mit der Versionszahl 8.4.8 ein Patch bereit. Aufgrund der Angriffe sollten die Updates umgehend eingespielt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 15,00€
  2. 9,49€
  3. 37,49€
  4. 39,99€

Apfelbrot 26. Apr 2018

Finde ich im Vergleich zu Whitesmith nicht so toll lesbar.

Cybso 26. Apr 2018

Die Rechteverwaltung von Drupal ist sehr flexibel, "Authentifiziert" muss nicht gleich...


Folgen Sie uns
       


Ninm Its OK - Test

Der It's OK von Ninm ist ein tragbarer Kassettenspieler mit eingebautem Bluetooth-Transmitter. Insgesamt ist das Gerät eine Enttäuschung, bessere Modelle gibt es auf dem Gebrauchtmarkt.

Ninm Its OK - Test Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Shitrix: Das Citrix-Desaster
Shitrix
Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.
Ein IMHO von Hanno Böck

  1. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

    •  /