Sicherheitsupdates: Kritische Lücken gefährden Drupal-Websites

  • TIPP

  • mad.de
  • 380 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Sicherheitsupdates: Kritische Lücken gefährden Drupal-Websites

    Das Content Management System Drupal ist über zwei Schwachstellen angreifbar. Abgesicherte Versionen sind verfügbar.

    Betreiber von Websites, die auf Drupal fußen, sollten aus Sicherheitsgründen auf eine aktuelle Ausgabe aktualisieren. Das sollte zügig geschehen: Die zwei Lücken sind mit dem Bedrohungsgrad "kritisch" eingestuft. In beiden Fällen könnte Angreifer Schadcode in das CMS schieben und ausführen. In so einem Fall gilt eine Website in der Regel als komplett kompromittiert.

    Die Lücke mit der Kennung CVE-2018-1000888 findet sich einer Warnung der Entwickler zufolge in der Third-Party-Bibliothek PEAR Archive_Tar. Aufgrund von Fehlern bei Dateioperationen könnten Angreifer Dateien modifizieren oder sogar eigenen Code ausführen.
    Eine Macke im Phar Stream Wrapper von PHP kann ebenfalls zu Remote Code Execution führen. Ein Übergriff soll aber nur mit untypischen Konfigurationen des CMS erfolgreich sein. Derzeit führen die Drupal-Entwickler das in der Meldung zur Lücke nicht weiter aus. Sie weisen aber daruf hin, dass der reparierte Stream Wrapper erst mit PHP 5.3.3 kompatibel ist. Drupal 7 setzt jedoch ältere PHP-Versionen ein. Drum deaktiviert die aktuelle Drupal-7-Ausgabe den Wrapper.

    Updates
    Die Drupal-Entwickler geben an, dass sie die Lücken in den Versionen 7.62, 8.5.9 und 8.6.6 geschlossen haben. Alle vorigen Ausgaben sind bedroht. Ältere Ausgaben vor 8.5.x haben das Supportende erreicht und bekommen keine Sicherheitsupdates mehr.
    Bei Admins, die Drush (Drupal Shell) zum Verwalten des CMS nutzen, könnte es beim Aktualisieren zu Fehlern kommen, führt Drupal in einem Beitrag aus, wo sich Nutzer zu dem Problem und einer Lösung austauschen.
    Laut Statistiken vom Analysedienst W3Techs setzen rund 2 Prozent aller Websites auf Drupal. Bei fast 80 Prozent davon kommt noch Version 7 zum Einsatz.

    Quelle: Sicherheitsupdates: Kritische Lücken gefährden Drupal-Websites |
    heise Security


    Update 21.02.2019:
    Sicherheitsupdates: Kritische Lücke verwundet Drupal
    Die Drupal-Entwickler haben eine gefährliche Schwachstelle im Content Management System geschlossen.

    Angreifer könnten mit dem CMS Drupal erstellte Websites attackieren und schlimmstenfalls übernehmen. Abgesicherte Versionen schließen die als kritisch eingestufte Sicherheitslücke (CVE-2019-6340).

    Wie ein Angriff im Detail ablaufen könnte, ist bislang unklar. Drupal zufolge kommt es bei einigen Feldern zu Fehlern bei der Verarbeitung von Eingaben. Dadurch könnten Angreifer unter Umständen eigenen PHP-Code ausführen.

    Voraussetzungen für Attacke
    Seiten sind aber nur angreifbar, wenn bei Drupal 8/7 das RESTful-Web-Services-Modul aktiviert ist und PATCH- oder POST-Requests erlaubt sind. Websites mit aktivierten Service-Modulen wie JSON:API sind ebenfalls attackierbar.
    Abgesichert sind die Versionen 8.5.11 und 8.6.10. Um Drupal 7 abzusichern, sind nur Updates von einigen Modulen notwendig, führen die Entwickler in einer Warnmeldung aus. Als Workaround können Web-Admins auch alle Service-Module deaktivieren oder PUT/PATCH/POST-Requests verbieten.

    Quelle: Sicherheitsupdates: Kritische Lücke verwundet Drupal | heise online

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von mad.de () aus folgendem Grund: Update 21.02.2019