Original-URL des Artikels: https://www.golem.de/news/security-schwere-sicherheitsluecke-in-drupal-7-1410-109890.html    Veröffentlicht: 16.10.2014 16:23    Kurz-URL: https://glm.io/109890

Security

Schwere Sicherheitslücke in Drupal 7

Im Content-Management-System Drupal 7 ist eine schwere Sicherheitslücke, über die sich Angreifer Zugriff auf eine gesamte Webseite verschaffen können. Die Lücke ist in der API, die solche Angriffe eigentlich verhindern soll. Ein Update gibt es bereits.

Im weit verbreiteten Open-Source-CMS Drupal 7 ist eine schwere Sicherheitslücke, die es Angreifern erlaubt, ohne Authentifizierung die Kontrolle über das gesamte CMS zu erhalten. Es handelt sich um eine SQL-Injection-Schwachstelle (CVE-2014-3704), die ausgerechnet in der Abstraktions-API ist, die solche Angriffe eigentlich verhindern soll. Die Schwachstelle besteht seit mehr als einem Jahr und war den Entwicklern wohl bekannt. Erst ein externes Sicherheitsunternehmen erkannte deren Brisanz.

Laut dem deutschen Sicherheitsunternehmen SektionEins lassen sich beliebige SQL-Eingaben ohne Authentifizierung über die Schwachstelle absetzen. Damit ließe sich die hinter der Abstraktions-API liegende Datenbank abfragen und manipulieren. Damit sind unter Umständen auch Benutzerdaten zugänglich, die auf die Webseite zugreifen. Es lässt sich aber auch PHP-Code einschleusen oder weitere Angriffe fahren. So könnte eine Webseite mit Malware infiziert werden, die über den Webbrowser eines Benutzers weitere Rechner infizieren könnte.

Brisanterweise existiert die Lücke in Drupal 7 wohl schon seit Monaten. Zumindest wurde sie im November 2013 ins Ticketsystem des CMS eingetragen. Allerdings erkannten die Entwickler dort nicht, wie gravierend die Schwachstelle ist. Erst als SektionEins Mitte September 2014 Alarm schlug, schlossen die Drupal-Entwickler die Schwachstelle. Anwendern wird dringend geraten, auf Version 7.32 zu aktualisieren, die Drupal am 15. Oktober 2014 veröffentlicht hat. Drupal ist recht weit verbreitet, Experten gehen davon aus dass die Software von etwa 900.000 Webseiten genutzt wird.  (jt)


Verwandte Artikel:
Freies CMS: Drupal 7.0 veröffentlicht   
(05.01.2011, https://glm.io/80488 )
CMS: Drupal 8.4 stabilisiert Module   
(06.10.2017, https://glm.io/130479 )
IT-Sicherheit: Wie ich mein Passwort im Stack Trace fand   
(12.04.2017, https://glm.io/127258 )
Content-Management-Systeme: Wordpress ist sicherer als die Konkurrenz   
(02.02.2017, https://glm.io/125967 )
Memory Leak: Insiderhandel bei Intel?   
(04.01.2018, https://glm.io/131957 )

© 1997–2019 Golem.de, https://www.golem.de/