• IT-Karriere:
  • Services:

Zero Day: Drupal-Seiten werden angegriffen

Schon wieder eine sehr kritische Drupal-Lücke: CVE-2018-7602 ermöglicht einem Angreifer die Übernahme von Drupal-Seiten. Erste Angriffe werden bereits nach wenigen Stunden registriert.

Artikel veröffentlicht am ,
Stilisiertes Drupal-Logo
Stilisiertes Drupal-Logo (Bild: Jasmin Schaitl/CC-BY 2.0)

Angreifer haben nur wenige Stunden nach Bekanntwerden einer erneuten kritischen Sicherheitslücke im Content-Management-System (CMS) Drupal begonnen, den Bug für Attacken auszunutzen. Sie nutzen dabei Code eines Proof-of-Concepts, der online verfügbar ist.

Stellenmarkt
  1. PROSOZ Herten GmbH, Herten (Home-Office)
  2. Computacenter AG & Co. oHG, Kerpen, Erfurt

"Wir sehen defintiv Proof-of-Concept-Exploits, die online veröffentlicht werden", sagte Greg Knaddison vom Drupal-Team Ars Technica. Immerhin kann der Angriff noch nicht automatisiert durchgeführt werden, weil er von zahlreichen Variablen auf der angegriffenen Drupal-Seite abhängt. Erfolgreiche Übernahmen verwundbarer Seiten soll es aber bislang noch nicht gegeben haben.

Die Sicherheitslücke CVE-2018-7602 ermöglicht einem Angreifer die Ausführung beliebigen Codes aus der Ferne. Es handelt sich um den zweiten kritischen Fehler in Drupal binnen weniger Wochen. Betroffen sind die Versionen 7.x und 8.x. Die neue Sicherheitslücke soll mit der als "Druppalgeddon 2" bekanntgewordenen Lücke "verwandt" sein.

Angreifer muss authentifiziert sein

Drupal selbst stellt keine weiteren Details zu dem Problem zur Verfügung. Wie bei Druppalgeddon2 soll auch bei diesem Bug eine fehlende Bereinigung eingegebener Werte ("sanitization") für die Probleme verantwortlich sein. Für den derzeit kursierenden Code muss ein Nutzer authentifiziert sein und über die Berechtigung verfügen, Nodes zu löschen.

Die aktuellen und nicht verwundbaren Versionen sind Drupal 7.59 und 8.5.3. Auch für die eigentlich nicht mehr unterstützte Version 8.4 steht mit der Versionszahl 8.4.8 ein Patch bereit. Aufgrund der Angriffe sollten die Updates umgehend eingespielt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Apfelbrot 26. Apr 2018

Finde ich im Vergleich zu Whitesmith nicht so toll lesbar.

Cybso 26. Apr 2018

Die Rechteverwaltung von Drupal ist sehr flexibel, "Authentifiziert" muss nicht gleich...


Folgen Sie uns
       


Purism Librem 5 - Test

Das Librem 5 ist ein Linux-Smartphone, das den Namen wirklich verdient. Das Gerät enttäuscht aber selbst hartgesottene Linuxer.

Purism Librem 5 - Test Video aufrufen
    •  /