Einloggen auf heise online

    • News
    • heise Developer
    • heise Netze
    • heise Open Source
    • heise Security
    • c't
    • iX
    • Technology Review
    • c't Fotografie
    • Mac & i
    • Make
    • Telepolis
    • heise Autos
    • TechStage
    • tipps+tricks
    • heise Download
    • Preisvergleich
    • Whitepapers
    • Webcasts
    • Stellenmarkt
    • Karriere Netzwerk
    • Gutscheine
    • IT-Markt
    • Tarifrechner
    • Netzwerk-Tools
    • Spielen bei Heise
    • heise shop
    • heise Select
    • Artikel-Archiv
    • Zeitschriften-Abo
    • Veranstaltungen
    • Arbeiten bei Heise
    • Mediadaten
heise Security
sponsored by Logo HOB
  • News
    • Archiv
    • 7-Tage-News
  • Hintergrund
  • Events
  • Foren
  • Kontakt
  1. Security
  2. 7-Tage-News
  3. 04/2018
  4. Drupalgeddon 2: Angreifer attackieren ungepatchte Drupal-Webseiten

Drupalgeddon 2: Angreifer attackieren ungepatchte Drupal-Webseiten

Alert! 16.04.2018 10:48 Uhr Dennis Schirrmacher
vorlesen
Drupalgeddon 2: Angreifer attackieren ungepatchte Drupal-Webseiten

Im CMS Drupal klafft eine äußerst gefährliche Sicherheitslücke, die Angreifer momentan ausnutzen. Admins sollten die seit Ende März verfügbaren Patches zügig installieren.

Eine als extrem kritisch eingestufte Sicherheitslücke (CVE-2018-7600) im Content Management System (CMS) Drupal steht derzeit unter Beschuss, warnen Sicherheitsforscher von Sucuri. Davon sind die Drupal-Versionen 6 bis 8 bedroht. Mit vergleichsweise wenig Aufwand sollen Angreifer verwundbare Drupal-Webseiten komplett übernehmen können.

Momentan handelt es sich Sucuri zufolge noch um vereinzelte Angriffe. Bislang soll es noch keine Übernahme von Webseiten gegeben haben – das kann sich aber schnell ändern. Admins sollten die seit Ende März verfügbaren Sicherheitspatches schleunigst installieren.

Besuch einer Seite reicht aus

Aufgrund eines Fehlers in der Form API (FAPI) werden Eingaben in manchen Formularen nicht ausreichend überprüft. So könnten Angreifer aus der Ferne ohne Authentifizierung Schadcode auf Drupal-Webseiten ausführen. Das soll Check Point zufolge beispielsweise im E-Mail-Adress-Feld des Registrierungsformulars für neue Nutzer der Fall sein.

Kurz nach Veröffentlichung des Blog-Beitrags von Check Point tauchte Proof-of-Concept-Code eines Sicherheitsforschers auf Github auf. Anschließend beobachtete Sucuri die ersten Angriffsversuche.

Abgesicherte Versionen

Bereits zur Veröffentlichung der abgesicherten Ausgaben 7.58 und 8.5.1 warnten die Drupal-Entwickler vor bald möglichen Attacken. Die Lücke ist so heftig, dass Drupal sogar Sicherheitsupdates für die eigentlich nicht mehr im Support befindlichen Ausgaben 8.3.x und 8.4.x in Form von 8.3.9 und 8.4.6 veröffentlicht hat. Auch Drupal 6 und 8.2.x sind bedroht. Wer eine dieser veralteten Versionen einsetzt, muss auf eine aktuelle updaten, raten die Entwickler. Für Drupal 6 gibt es noch einen inoffiziellen Patch. (des)

Kommentare lesen (38 Beiträge)

Forum zum Thema: Serversicherheit

https://heise.de/-4024700 Drucken
Mehr zum Thema:
CMS Content Management Drupal Hacking Patchday Sicherheitslücken Alert!
Anzeige
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
Anzeige
Alerts! alle Alert-Meldungen

Drupal (CKEditor)

Cisco-Produkte

Oracle Critical Patch Update

Update
Anzeige
Anzeige
  • DSGVO: Was nach dem 25. Mai noch zu tun ist
  • Special: DSGVO Ratgeber
  • Interessante Jobangebote - IT-Jobtag in Leipzig!
  • 5 IT-Trends, die Sie auf dem Schirm haben sollten
  • Arbeitgeber Bewerbungen: Heise Karriere-Netzwerk
  • Wie Endgeräteschutz die IT-Sicherheit verbessert
  • Geldanlage: von Mensch und Maschine profitieren
Artikel
Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Übersicht: Diese Webseiten bieten Zwei-Faktor-Authentifizierung

Vor allem Online-Shops und soziale Netzwerke sollte neben dem Passwort noch einen zweiten Faktor zum Einloggen fordern. Eine Webseite zeigt übersichtlich an, welche Online-Services dieses Anmeldeverfahren bieten.

Lesetipp
Leben vom Verkauf geklauter Passwörter

Leben vom Verkauf geklauter Passwörter

Das Geschäft mit geleakten Login-Daten boomt: Betrüger machen damit innerhalb von wenigen Monaten mehrere 100.000 US-Dollar.

Lesetipp
Malware-Analyse - Do-It-Yourself

Malware-Analyse - Do-It-Yourself

Bauen Sie Ihre eigene Schadsoftware-Analyse-Sandbox, um schnell das Verhalten von unbekannten Dateien zu überprüfen. Dieser Artikel zeigt, wie das mit der kostenlosen Open-Source-Sandbox Cuckoo funktioniert.

Hintergrund
Neueste Forenbeiträge
  1. Re: Wenigstens leicht zu Identifizieren
    Für die schlecht umgesetzten Miner mag das gelten. Es gibt allerdings genügend Methoden sich zu verstecken.

    Forum:  Statt Erpressungstrojaner: Krypto-Miner auf dem Vormarsch

    FHSnoop hat keinen Avatar
    von FHSnoop; vor 9 Stunden
  2. Re: Google ist ja so toll!
    Googles 8.8.8.8 ist trotzdem noch standardmäßig eingestellt und da wahrscheinlich nur jeder millionste Benutzer jemals die DNS Einstellungen…

    Forum:  Android P verschlüsselt DNS-Anfragen

    Sylos hat keinen Avatar
    von Sylos; vor 23 Stunden
  3. Re: Das will ich wohl glauben!
    Hallo, ich hätte bei einer solchen App die Verwendung eines Obfuscators erwartet, der das einfache Auslesen von URLs (und vertraulichen Infos…

    Forum:  RSA Conference: Unsichere Konferenz-App leakt Teilnehmerliste

    O. v. W. hat keinen Avatar
    von O. v. W.; vor 23 Stunden
nach oben
News und Artikel
  • News
  • 7-Tage-News
  • News-Archiv
  • Hintergrund-Artikel
  • Alert-Meldungen
Service
  • Newsletter
  • Tools
  • Foren
  • RSS
  • mobil
Dienste
  • Security Consulter
  • Netzwerkcheck
  • Anti-Virus
  • Emailcheck
  • Browsercheck
  • Krypto-Kampagne
  • Datenschutzhinweis
  • Impressum
  • Kontakt
  • Mediadaten
  • 2409098
  • Content Management by InterRed
  • Copyright © 2018 Heise Medien