Sicherheitslücke in Drupal

Im Content-Management-System (CMS) Drupal klaffen wohl heftige Sicherheitslücken. Angreifer können darüber eigenen PHP-Code auf dem Server ausführen.


Anzeige

Das Drupal-Sicherheitsteam hat am 21. Juni 2017 den Beitrag Drupal Core – Multiple Vulnerabilities – SA-CORE-2017-003 veröffentlicht, der die Sicherheitslücken in Drupal 7 und Drupal 8 anspricht. Gleichzeitig stehen auf der Seite aktualisierte Fassungen von Drupal 7.56 und Drupal 8.3.4 zum Download bereit.

Eine Lücke ermöglicht Angreifern über eine Schwachstelle im YAML-Parser eigenen PHP-Code einzuschleusen und auszuführen. Auch die RESTful Schnittstelle zum Upload von Dateien weist eine Sicherheitslücke auf. Unter anderem wurde die Upload-Möglichkeit von Spammern genutzt, um öffentlich abrufbare Bilder auf Drupal-Webseiten abzulegen. Drupal-Administratoren sollten die Installation so schnell als mögliche auf die oben angegebenen Versionen aktualisieren. (via)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Sicherheitslücke in Drupal

  1. Holger K. sagt:

    Code Injection scheint bei CMS-Systemen immer noch eines der größten Probleme zu sein. Die Angriffsfläche ist da ja auch riesengroß, angefangen von SQL bis hin zu solchen Spezialschnittstellen.

    Hier müsste eigentlich ein Sicherheitsteam regelmäßige Audits durchführen, bevor eine neue Version veröffentlicht wird, wenn… ja wenn man sich das leisten könnte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.