Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 15

Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Durch eine kritische Lücke im Content-Management-System Drupal können Angreifer eigenen PHP-Code auf dem Server ausführen. Eine weitere Schwachstelle missbrauchen Spammer bereits, um Werbung zu hosten.

Das Drupal-Team hat drei Sicherheitslücken in seinem Content-Management-System geschlossen, die es zum Teil in sich haben: So können Angreifer etwa eine kritische Schwachstelle im YAML-Parser missbrauchen, um eigenen PHP-Code auf dem Server auszuführen. Auch das RESTful-Modul (rest), welches Nutzern das Hochladen von Dateien erlaubt, mussten die Entwickler absichern. Es patzte bei der Validierung der von den Nutzern angelieferten Daten, wenn Dateien verändert wurde. Die Entwickler stufen das Problem als "weniger kritisch" (Less Critical) ein.

Spam-Helfer wider Willen

Last but not least konnten anonyme Nutzer Dateien hochladen, die dann öffentlich über das Internet abrufbar waren. Das Drupal-Team erklärt, dass diese "moderat kritische" Anfälligkeit bereits von Spammern ausgenutzt wird, um Bilder für Werbekampagnen zu hosten. Von den ersten beiden Sicherheitslücken ist ausschließlich Drupal 8 betroffen, die dritte klafft auch in Drupal 7. Für Abhilfe sorgt ein Update auf Drupal 8.3.4 respektive 7.5.6. Wer eine betroffene Drupal-Installation administriert, sollte so schnell wie möglich auf die aktuelle Version umsteigen. (rei)

15 Kommentare

Themen:

Anzeige
  1. Sicherheitsupdates: Angreifer könnten Drupal-Webseiten ein bisschen umbauen

    Sicherheitsupdate: Angreifer könnten Drupal-Webseiten umbauen

    Nutzer von Drupal sollten zügig die aktuellen Versionen installieren. In diesen haben die Entwickler mehrere Sicherheitslücken geschlossen.

  2. Drupal: Sicherheitsupdate jetzt installieren!

    Drupal: Sicherheitsupdate jetzt installieren!

    Für das Open-Source-CMS Drupal gibt es das erste Sicherheitsupdate des Jahres. Die Entwickler empfehlen Admins, so schnell wie möglich auf die neue Version umzusteigen.

  3. Angreifer könnten Drupal-Webseiten ausspionieren

    Angreifer könnten Drupal-Webseiten ausspionieren

    Im Versionsstrang 8.x klafft eine als kritisch eingestufte Sicherheitslücke. Abgesicherte Versionen schließen die Schwachstelle.

  4. Content Management Framework Drupal 8.4 mit Media-API und Workflows

    Content Management Framework Drupal 8.4 mit Media-API und Workflows

    Mit der Version 8.4 des quelloffenen Content-Management-Frameworks Drupal kommen Bugfixes und neue experimentelle Module. Internet Explorer 9 und 10 werden mit dem neuen Release nicht mehr unterstützt.

  1. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  2. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Der neue Kernel bringt eine Schnellverarbeitungsweg für Netzwerkpakete und Grundlagen für neue Dateisystemfunktionen bei XFS. Zahlreiche neuen und verbesserte Treiber bringen Unterstützung für Grafikchips von ARM, Intel und Nvidia. Ferner gab es einen ganzen Schwung von Änderungen, um die Sicherheit zu verbessern.

  3. Die Neuerungen von Linux 4.12

    Linux-Kernel 4.11

    Linux 4.12 verbessert das Live Patching und unterstützt AMDs neue High-End-Grafikchips. Zwei neue I/O Scheduler versprechen die Redaktionsfreude von Desktops und Servern zu steigern. Die Netzwerk-Schnellstrecke Express Data Path (XDP) lässt sich jetzt universell nutzen.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. BEV-Reichweitenermittlung nach WLTP

    Elektroautos, alternative Antriebe

    Es ist ein Ärgernis, dass die Reichweitenangabe für Batterie-elektrische Autos nach NEFZ reine Fantasie ist. Im WLTP sind die Anforderungen höher, und die Normwerte werden bei gleicher Kapazität sinken. Dennoch könnten potenzielle Käufer weiter auf die Community und die Presse angewiesen sein

  3. Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Gute Bilder brauchen nicht immer spektakläre Foto-Locations Manchmal tut es auch eine Außentreppe, eine U-Bahn-Station oder eine Bahnunterführung.

  4. Amazon Cloud Cam enthält Lücke für smarten Einbruchdiebstahl

    Amazon

    Amazon Key öffnet Paketboten und anderen Dienstleistern die Tür zum privaten Smarthome per Cloud-Funktion. Leider lässt sich die zugehörige Überwachungskamera mit einem Trick überlisten.

Anzeige