Sicherheitsupdates: Archive mit Schadcode könnten Drupal-Websites gefährden

  • Tipp

  • mad.de
  • 841 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Sicherheitsupdates: Archive mit Schadcode könnten Drupal-Websites gefährden

    Die Drupal-Enwickler haben zwei gefährliche Sicherheitslücken im Content Management System Drupal geschlossen.

    Unter bestimmten Voraussetzungen könnten Angreifer mit dem CMS Drupal erstellte Websites attackieren und eigenen Code ausführen. Abgesicherte Versionen sind verfügbar. Drupal zufolge ist Exploit-Code in Umlauf.

    Websites sind nur verwundbar, wenn der Upload von Archiven in den Formaten .bz2, .tar, .tar.gz oder .tlz konfiguriert ist. Aufgrund der zwei Sicherheitslücken (CVE-2020-28948, CVE-2020-28949) kommt es zu Fehlern bei der Überprüfung von derartigen Archiven. Klappen Attacken, könnten Angreifer der Warnmeldung zufolge eigenen PHP-Code ausführen. Das Sicherheitsrisiko stuft Drupal als "kritisch" ein.

    Abgesichert sind die Versionen 7.75, 8.8.12, 8.9.10 und 9.0.9. Der Support für alle Versionen bis einschließlich Drupal 8.8.x ist ausgelaufen und es gibt keine Sicherheitsupdates mehr. Alternativ können Admins die Archiv-Upload-Funktion deaktivieren, um Websites vor solchen Attacken zu schützen.

    Quelle: Sicherheitsupdates: Archive mit Schadcode könnten Drupal-Websites gefährden | heise online