Original-URL des Artikels: https://www.golem.de/news/extrem-kritische-luecke-beliebige-nutzer-koennen-drupal-installationen-manipulieren-1803-133589.html    Veröffentlicht: 29.03.2018 09:44    Kurz-URL: https://glm.io/133589

Extrem kritische Lücke

Beliebige Nutzer können Drupal-Installationen manipulieren

Sofort patchen: Eine hochkritische Sicherheitlücke in Drupal ermöglicht Angreifern ohne Authentifizierung die Ausführung von Code. Auch einige nichtunterstütze Versionen bekommen ein Update.

Drupal hat ein Sicherheitsupdate für eine nach eigener Aussage "hochkritische" Sicherheitslücke bereitgestellt. Das Problem mit der Bezeichnung CVE-2018-7600 ermöglicht beliebigen Nutzern die Ausführung von Code aus der Ferne (Remote Code Execution, RCE). Technische Details gibt es bislang nicht, das Drupal-Team warnt allerdings, dass innerhalb weniger Stunden bis Tage ein Exploit entwickelt werden könnte, um bestehende Installationen anzugreifen.

Betroffen sind alle Drupal-Versionen mit den Versionsnummern 7.X und 8.X. Nutzer sollten umgehend auf Drupal 7.58 oder Drupal 8.5.1. patchen. Alternativ steht auch ein begrenzter Patch zum Download bereit. Außer der Reihe werden zudem die eigentlich nicht mehr unterstützten Versionen 8.3.x und 8.4 gepatcht. Drupal empfiehlt natürlich trotzdem, nach Einspielen des Patches auf eine unterstützte Version des Content Management Systems (CMS) zu wechseln. Ebenfalls betroffen ist Drupal in der Version 6, die nicht mehr unterstützt wird. Es gibt allerdings Hersteller, die eine begrenzte Langzeitunterstützung anbieten.

Eine Million Seiten betroffen

Die Sicherheitslücke wurde von Jasper Mattson entdeckt. Technische Details gibt es bislang wegen der hohen Exploit-Gefahr nicht. Nach Angaben von Drupal nutzen neun Prozent der Seiten mit einem bekannten CMS Drupal, etwa eine Million Seiten sollen von dem aktuellen Problem betroffen sein.

In den FAQ zu der Sicherheitslücke heißt es, dass das Ausnutzen der Sicherheitslücke sehr einfach sei und alle nichtöffentlichen Daten einer Webseite dadurch kompromittiert werden könnten. Nutzer können ihre eigene Seite mit dem Werkzeug The Security Review auf Probleme in der Konfiguration überprüfen lassen. Drupal empfiehlt außerdem die Nutzung von Zwei-Faktor-Authentifizierung.  (hg)


Verwandte Artikel:
CMS: Drupal 8.4 stabilisiert Module   
(06.10.2017, https://glm.io/130479 )
Externe Datenträger: Apple loggt APFS-Passwort im Klartext mit   
(28.03.2018, https://glm.io/133569 )
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Content-Management-Systeme: Wordpress ist sicherer als die Konkurrenz   
(02.02.2017, https://glm.io/125967 )
Regierungserklärung: Merkel warnt vor Datenausbeutung der Nutzer   
(22.03.2018, https://glm.io/133484 )

© 1997–2019 Golem.de, https://www.golem.de/