Drupal: Entwickler fixen kritische Sicherheitslücke im CMS-Kern

  • Tipp

  • mad.de
  • 7885 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Drupal: Entwickler fixen kritische Sicherheitslücke im CMS-Kern

    Angreifer, die Drupal 8.7.4 ins Visier nehmen, könnten ohne vorherige Anmeldung die Kontrolle über das CMS übernehmen. Version 8.7.5 behebt das Problem.

    Im Core des Open-Source-Content-Management-Systems (CMS) Drupal steckt eine als kritisch eingestufte Sicherheitslücke. Angreifer könnten sie unter bestimmten Voraussetzungen missbrauchen, um ohne vorherige Authentifizierung die Kontrolle über das CMS zu übernehmen.

    Der Missbrauch der Lücke unterliegt allerdings starken Einschränkungen: Laut einem Sicherheitshinweis der Drupal-Entwickler betrifft sie ausschließlich Version 8.7.4 des CMS. Zudem ist sie nur so lange vorhanden, wie das experimentelle "Workspaces"-Modul aktiv ist. Ob Zugriffe aus der Ferne möglich sind, geht aus dem Hinweis nicht hervor.

    Version 8.7.5 ist abgesichert
    Betreiber des CMS in Version 8.7.4 könnten das Workspaces-Modul also einfach deaktivieren. Besser ist allerdings ein Upgrade auf die abgesicherte Version 8.7.5.

    Das Drupal-Team weist darauf hin, dass (im Falle eines vor dem Update aktiven Workspaces-Moduls) update.php ausgeführt werden, muss um sicherzustellen, dass der Cache geleert wird. Auch Reverse Proxy Caches und Caches von Content Delivery Networks sollten geleert werden.

    Quelle: Drupal: Entwickler fixen kritische Sicherheitslücke im CMS-Kern | heise online