Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.489 Produkten

Dennis Schirrmacher 38

Alert Drupalgeddon 2: Angreifer attackieren ungepatchte Drupal-Webseiten

Drupalgeddon 2: Angreifer attackieren ungepatchte Drupal-Webseiten

Im CMS Drupal klafft eine äußerst gefährliche Sicherheitslücke, die Angreifer momentan ausnutzen. Admins sollten die seit Ende März verfügbaren Patches zügig installieren.

Eine als extrem kritisch eingestufte Sicherheitslücke (CVE-2018-7600) im Content Management System (CMS) Drupal steht derzeit unter Beschuss, warnen Sicherheitsforscher von Sucuri. Davon sind die Drupal-Versionen 6 bis 8 bedroht. Mit vergleichsweise wenig Aufwand sollen Angreifer verwundbare Drupal-Webseiten komplett übernehmen können.

Anzeige

Momentan handelt es sich Sucuri zufolge noch um vereinzelte Angriffe. Bislang soll es noch keine Übernahme von Webseiten gegeben haben – das kann sich aber schnell ändern. Admins sollten die seit Ende März verfügbaren Sicherheitspatches schleunigst installieren.

Aufgrund eines Fehlers in der Form API (FAPI) werden Eingaben in manchen Formularen nicht ausreichend überprüft. So könnten Angreifer aus der Ferne ohne Authentifizierung Schadcode auf Drupal-Webseiten ausführen. Das soll Check Point zufolge beispielsweise im E-Mail-Adress-Feld des Registrierungsformulars für neue Nutzer der Fall sein.

Kurz nach Veröffentlichung des Blog-Beitrags von Check Point tauchte Proof-of-Concept-Code eines Sicherheitsforschers auf Github auf. Anschließend beobachtete Sucuri die ersten Angriffsversuche.

Bereits zur Veröffentlichung der abgesicherten Ausgaben 7.58 und 8.5.1 warnten die Drupal-Entwickler vor bald möglichen Attacken. Die Lücke ist so heftig, dass Drupal sogar Sicherheitsupdates für die eigentlich nicht mehr im Support befindlichen Ausgaben 8.3.x und 8.4.x in Form von 8.3.9 und 8.4.6 veröffentlicht hat. Auch Drupal 6 und 8.2.x sind bedroht. Wer eine dieser veralteten Versionen einsetzt, muss auf eine aktuelle updaten, raten die Entwickler. Für Drupal 6 gibt es noch einen inoffiziellen Patch. (des)

38 Kommentare

Themen:

Anzeige
  1. Sicherheitsupdate für extrem kritische Lücke in Drupal ist da

    Sicherheitsupdate für extrem kritische Lücke in Drupal ist da

    Admins sollten zügig die ab sofort verfügbaren abgesicherten Version des CMS Drupal installieren.

  2. Sicherheitsupdates: Angreifer könnten Drupal-Webseiten ein bisschen umbauen

    Sicherheitsupdate: Angreifer könnten Drupal-Webseiten umbauen

    Nutzer von Drupal sollten zügig die aktuellen Versionen installieren. In diesen haben die Entwickler mehrere Sicherheitslücken geschlossen.

  3. Patchday: Adobe Acrobat und Reader sind das neue Flash

    Patchday: Acrobat ist das neue Flash

    Adobe schließt in seinem Software-Portfolio einen Haufen Sicherheitslücken. Davon gelten viele als kritisch – der Löwenanteil klafft in Acrobat und Reader.

  4. Sicherheitsupdates: Drupal-Webseiten können Inhalte leaken

    Sicherheitsupdates: Drupal-Webseiten können Inhalte leaken

    Im CMS Drupal klaffen mehrere Sicherheitslücken. Davon gelten zwei als kritisch. Sicherheitsupdates für verschiene Versionsstränge stehen bereit.

  1. Die Neuerungen von Linux 4.15

    Linux-Kernel 4.15

    Mit einem neuen Ansatz versucht das jetzt erhältliche Linux 4.15 ein altbekanntes Stromsparproblem aus der Welt zu schaffen. Der neue Kernel verbessert den Support für AMDs aktuelle Grafikchips. Schutz vor Meltdown und Spectre ist auch dabei.

  2. Projektseite zum Anet A8

    Ein umgebauter 3D-Drucker Anet A8, auf dem Drucktisch steht ein Teeodohr

    Träumen Sie von einem richtig guten 3D-Drucker? Dann tunen Sie doch einfach ein 125-Euro-Modell, ohne insgesamt mehr als 250 Euro auszugeben.

  3. Die Neuerungen von Linux 4.16

    Linux-Kernel 4.16

    Mehr Akkulaufzeit und besserer Schutz vor der Prozessorlücke Spectre sind zwei Highlights des neuen Linux-Kernels. Der integrierte Hypervisor unterstützt jetzt AMDs Speicherverschlüsselung. Außerdem läuft Linux auch als Gast unter einem aus Deutschland vorangetriebenen Hardware-Partitionierer.

  1. Löschanlagen-Ton zerstört Festplatten in schwedischem Rechenzentrum

    Rechenzentrum

    Der extrem laute Ton einer Gaslöschanlage hat in einem Rechenzentrum in Schweden zahlreiche Festplatten beschädigt. Der Börsenhandel in Skandinavien war deshalb stundenlang beeinträchtigt.

  2. Denkt an die Fische! PETA rügt Far Cry 5, weil man darin angeln kann

    Denkt an die Fische: PETA rügt Far Cry 5, weil man darin angeln kann

    Spiele wie Far Cry 5 dürfen in Deutschland nicht mehr auf den Markt kommen, fordert die Tierschutzorganisation PETA. Der Grund: Man kann darin angeln. Es ist nicht das erste Mal, dass PETA die Gaming-Community provoziert.

  3. Kalifornien verlangt sparsamere Computer ab 2019

    Kalifornien verlangt sparsamere Computer ab 2019

    Ab 1. Januar 2019 müssen in Kalifornien verkaufte PCs deutlich weniger Energie pro Jahr verbrauchen, als bisher zulässig war.

  4. Google Grasshopper: Spielerisch programmieren lernen per App

    Google Grasshopper will Neulinge fürs Programmieren interessieren

    Eine interaktive App soll die Scheu vorm Coden nehmen und spielerisch ans Programmieren heranführen. Mit Quizfragen, Punkten für Fortschritte und sofortiger Visualisierung des eigenen Codes steht der Spaß beim Lernen im Vordergrund.

Anzeige