Menü
Alert!
Security

Sicherheitsupdates: Kritische Lücke verwundet Drupal

Die Drupal-Entwickler haben eine gefährliche Schwachstelle im Content Management System geschlossen.

Von
vorlesen Drucken Kommentare lesen 3 Beiträge
Sicherheitsupdates: Kritische Sicherheitslücke verwundet Drupal

Angreifer könnten mit dem CMS Drupal erstellte Websites attackieren und schlimmstenfalls übernehmen. Abgesicherte Versionen schließen die als kritisch eingestufte Sicherheitslücke (CVE-2019-6340).

Wie ein Angriff im Detail ablaufen könnte, ist bislang unklar. Drupal zufolge kommt es bei einigen Feldern zu Fehlern bei der Verarbeitung von Eingaben. Dadurch könnten Angreifer unter Umständen eigenen PHP-Code ausführen.

Seiten sind aber nur angreifbar, wenn bei Drupal 8/7 das RESTful-Web-Services-Modul aktiviert ist und PATCH- oder POST-Requests erlaubt sind. Websites mit aktivierten Service-Modulen wie JSON:API sind ebenfalls attackierbar.

Abgesichert sind die Versionen 8.5.11 und 8.6.10. Um Drupal 7 abzusichern, sind nur Updates von einigen Modulen notwendig, führen die Entwickler in einer Warnmeldung aus. Als Workaround können Web-Admins auch alle Service-Module deaktivieren oder PUT/PATCH/POST-Requests verbieten. (des)