Abo
  • Services:

Zero Day: Drupal-Seiten werden angegriffen

Schon wieder eine sehr kritische Drupal-Lücke: CVE-2018-7602 ermöglicht einem Angreifer die Übernahme von Drupal-Seiten. Erste Angriffe werden bereits nach wenigen Stunden registriert.

Artikel veröffentlicht am ,
Stilisiertes Drupal-Logo
Stilisiertes Drupal-Logo (Bild: Jasmin Schaitl/CC-BY 2.0)

Angreifer haben nur wenige Stunden nach Bekanntwerden einer erneuten kritischen Sicherheitslücke im Content-Management-System (CMS) Drupal begonnen, den Bug für Attacken auszunutzen. Sie nutzen dabei Code eines Proof-of-Concepts, der online verfügbar ist.

Stellenmarkt
  1. Minda Industrieanlagen GmbH, Minden
  2. Dataport, Hamburg (Home-Office möglich)

"Wir sehen defintiv Proof-of-Concept-Exploits, die online veröffentlicht werden", sagte Greg Knaddison vom Drupal-Team Ars Technica. Immerhin kann der Angriff noch nicht automatisiert durchgeführt werden, weil er von zahlreichen Variablen auf der angegriffenen Drupal-Seite abhängt. Erfolgreiche Übernahmen verwundbarer Seiten soll es aber bislang noch nicht gegeben haben.

Die Sicherheitslücke CVE-2018-7602 ermöglicht einem Angreifer die Ausführung beliebigen Codes aus der Ferne. Es handelt sich um den zweiten kritischen Fehler in Drupal binnen weniger Wochen. Betroffen sind die Versionen 7.x und 8.x. Die neue Sicherheitslücke soll mit der als "Druppalgeddon 2" bekanntgewordenen Lücke "verwandt" sein.

Angreifer muss authentifiziert sein

Drupal selbst stellt keine weiteren Details zu dem Problem zur Verfügung. Wie bei Druppalgeddon2 soll auch bei diesem Bug eine fehlende Bereinigung eingegebener Werte ("sanitization") für die Probleme verantwortlich sein. Für den derzeit kursierenden Code muss ein Nutzer authentifiziert sein und über die Berechtigung verfügen, Nodes zu löschen.

Die aktuellen und nicht verwundbaren Versionen sind Drupal 7.59 und 8.5.3. Auch für die eigentlich nicht mehr unterstützte Version 8.4 steht mit der Versionszahl 8.4.8 ein Patch bereit. Aufgrund der Angriffe sollten die Updates umgehend eingespielt werden.



Anzeige
Blu-ray-Angebote
  1. 9,99€
  2. 5,55€

Apfelbrot 26. Apr 2018 / Themenstart

Finde ich im Vergleich zu Whitesmith nicht so toll lesbar.

Cybso 26. Apr 2018 / Themenstart

Die Rechteverwaltung von Drupal ist sehr flexibel, "Authentifiziert" muss nicht gleich...

Kommentieren


Folgen Sie uns
       


HTC Vive Pro - Test

Das HTC Vive Pro ist ein beeindruckendes Headset und ein sehr gutes Gesamtkonzept. Allerdings zweifeln wir am Erfolg des Produktes in unserem Test - und zwar wegen des sehr hohen Kaufpreises und fehlenden Zubehörs.

HTC Vive Pro - Test Video aufrufen
Wonder Workshop Cue im Test: Der Spielzeugroboter kommt ins Flegelalter
Wonder Workshop Cue im Test
Der Spielzeugroboter kommt ins Flegelalter

Bislang herrschte vor allem ein Niedlichkeitswettbewerb zwischen populären Spiel- und Lernrobotern für Kinder, jetzt durchbricht ein Roboter für jüngere Teenager das Schema nicht nur optisch: Cue fällt auch durch ein eher loseres Mundwerk auf.
Ein Test von Alexander Merz


    Projektoren im Vergleichstest: 4K-Beamer für unter 2K Euro
    Projektoren im Vergleichstest
    4K-Beamer für unter 2K Euro

    Bildschirme mit UHD- und 4K-Auflösung sind in den vergangenen Jahren immer preiswerter geworden. Seit 2017 gibt es den Trend zu hoher Pixelzahl und niedrigem Preis auch bei Projektoren. Wir haben vier von ihnen getestet und stellen am Ende die Sinnfrage.
    Ein Test von Martin Wolf

    1. Sony MP-CD1 Taschenbeamer mit Akku und USB-C-Stromversorgung
    2. Mirraviz Multiview Splitscreen-Games spielen ohne die Möglichkeit, zu schummeln
    3. Sony LSPX-A1 30.000-Dollar-Beamer strahlt 80 Zoll aus 0 cm Entfernung

    Leserumfrage: Wie sollen wir Golem.de erweitern?
    Leserumfrage
    Wie sollen wir Golem.de erweitern?

    In unserer ersten Umfrage haben wir erfahren, dass Sie grundlegend mit uns zufrieden sind. Nun möchten wir wissen: Was können wir noch besser machen? Und welche Zusatzangebote wünschen Sie sich?

    1. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
    2. Leserumfrage Wie gefällt Ihnen Golem.de?
    3. Jahresrückblick 2017 Das Jahr der 20 Jahre

      •  /