zurück zum Artikel

Update für Drupal 7 schließt Worst-Case-Sicherheitslücke

Die Sicherheitslücke, die unter dem Namen "Drupageddon" firmiert, ermöglicht es, die betroffene Webseite direkt zu übernehmen. Betreiber sollten schnellstmöglich ein Update einspielen. Drupal ist weltweit eine der beliebtesten Open-Source-CMS-Lösungen.

Drupalgeddon

SektionEins bezeichnet die Lücke als "Drupageddon"

(Bild: drupageddon.com [1])

Das Drupal Security Team hat ein Update veröffentlicht, das eine kritische Sicherheitslücke schließt [2]. Angreifer können ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Kommandos ausführen und so die komplette Webseite übernehmen. Drupal wird für eine Reihe berühmter Webseiten verwendet, darunter die des Weißen Hauses [3] und Musiker-Webseiten wie etwa die von Bob Dylan [4].

Seitenbetreiber, die Drupal 7 installiert haben, sollten schnellstmöglich das Core-Update einspielen. Wer den Core seines Drupal-Systems kurzfristig nicht austauschen kann, sollte einen Patch [5] anwenden, der die kritische Codezeile ändert. Die ältere Drupal-Version 6 ist von diesem konkreten Problem nicht betroffen. Die Lücke klafft in der neueren Datenbank-Schicht, die mit Drupal 7 eingeführt wurde.

Das deutsche Sicherheitsunternehmen SektionEins, das den Fehler bereits im September entdeckt hat, beschreibt das Problem in seinem eigenen Advisory [6]. Drupals Security Team hat zusätzlich eine FAQ veröffentlicht [7].

Siehe dazu auch:



URL dieses Artikels:
http://www.heise.de/-2425878

Links in diesem Artikel:
[1] http://drupageddon.com
[2] https://www.drupal.org/SA-CORE-2014-005
[3] http://www.whitehouse.gov/
[4] http://www.bobdylan.com
[5] https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
[6] https://www.sektioneins.de/en/advisories/advisory-012014-drupal-pre-auth-sql-injection-vulnerability.html
[7] https://www.drupal.org/node/2357241
[8] http://www.heise.de/download/drupal-1115336.html