Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.733.931 Produkten

Ronald Eikenberg 15

Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Durch eine kritische Lücke im Content-Management-System Drupal können Angreifer eigenen PHP-Code auf dem Server ausführen. Eine weitere Schwachstelle missbrauchen Spammer bereits, um Werbung zu hosten.

Das Drupal-Team hat drei Sicherheitslücken in seinem Content-Management-System geschlossen, die es zum Teil in sich haben: So können Angreifer etwa eine kritische Schwachstelle im YAML-Parser missbrauchen, um eigenen PHP-Code auf dem Server auszuführen. Auch das RESTful-Modul (rest), welches Nutzern das Hochladen von Dateien erlaubt, mussten die Entwickler absichern. Es patzte bei der Validierung der von den Nutzern angelieferten Daten, wenn Dateien verändert wurde. Die Entwickler stufen das Problem als "weniger kritisch" (Less Critical) ein.

Anzeige

Last but not least konnten anonyme Nutzer Dateien hochladen, die dann öffentlich über das Internet abrufbar waren. Das Drupal-Team erklärt, dass diese "moderat kritische" Anfälligkeit bereits von Spammern ausgenutzt wird, um Bilder für Werbekampagnen zu hosten. Von den ersten beiden Sicherheitslücken ist ausschließlich Drupal 8 betroffen, die dritte klafft auch in Drupal 7. Für Abhilfe sorgt ein Update auf Drupal 8.3.4 respektive 7.5.6. Wer eine betroffene Drupal-Installation administriert, sollte so schnell wie möglich auf die aktuelle Version umsteigen. (rei)

15 Kommentare

Themen:

Anzeige
  1. Schon wieder Drupal: Sicherheitslücke in CKEditor

    Schon wieder Drupal: Sicherheitslücke in CKEditor

    Auf "Drupalgeddon 2" folgt nun eine neue Drupal-Lücke. Statt dem Weltuntergang drohen zwar "nur" Cross-Site-Scripting-Angriffe; dennoch sollten Nutzer des CMS die bereitstehenden Updates zeitnah einspielen.

  2. Sicherheitsupdates: Angreifer könnten Drupal-Webseiten ein bisschen umbauen

    Sicherheitsupdate: Angreifer könnten Drupal-Webseiten umbauen

    Nutzer von Drupal sollten zügig die aktuellen Versionen installieren. In diesen haben die Entwickler mehrere Sicherheitslücken geschlossen.

  3. Drupal: Sicherheitsupdate jetzt installieren!

    Drupal: Sicherheitsupdate jetzt installieren!

    Für das Open-Source-CMS Drupal gibt es das erste Sicherheitsupdate des Jahres. Die Entwickler empfehlen Admins, so schnell wie möglich auf die neue Version umzusteigen.

  4. Sicherheitsupdate für extrem kritische Lücke in Drupal ist da

    Sicherheitsupdate für extrem kritische Lücke in Drupal ist da

    Admins sollten zügig die ab sofort verfügbaren abgesicherten Version des CMS Drupal installieren.

  1. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  2. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Der neue Kernel bringt eine Schnellverarbeitungsweg für Netzwerkpakete und Grundlagen für neue Dateisystemfunktionen bei XFS. Zahlreiche neuen und verbesserte Treiber bringen Unterstützung für Grafikchips von ARM, Intel und Nvidia. Ferner gab es einen ganzen Schwung von Änderungen, um die Sicherheit zu verbessern.

  3. Die Neuerungen von Linux 4.14

    Linux-Kernel 4.14

    Die neue Kernel-Version bringt Speicherverschlüsselung, einen neuen Schlafmodus und einige Performance-Verbesserungen. Außerdem überwindet sie eine Grenze, die auf die ersten 64-Bit-x86-Prozessoren zurückgeht.

  1. Big Data: Wie die Erde war und werden könnte

    Planet Erde - Wie er war und werden könnte

    EarthTime zeigt, wie sich die Erde in den letzten 30 Jahren verändert hat und wie es weitergehen könnte, sollte die Menschheit unachtsam sein. Ein Big-Data-Projekt mit Videospiel-Technologie.

  2. Luftfahrtmesse ILA wirft Blick auf die Zukunft des Fliegens

    Airbus von vorne

    Der Hauptstadtflughafen BER öffnet diese Woche für die ILA. Die Luft- und Raumfahrtindustrie stellt ihre Neuheiten vor. Besucher erwartet neben einem elektrisch betriebenen Senkrechtstarter auch die größte Raumfahrtausstellung Europas.

  3. Erste Ausfahrt: Mercedes A 200

    Mercedes A-Klasse

    Die vierte A-Klasse ist ein hervorragendes Auto geworden, wie eine erste Ausfahrt zeigt. Eindrucksvoll ist der Vorsprung im Bereich Infotainment. Ein Modell für die breite Masse ist es aber nicht, denn Mercedes langt selbst für Kleinigkeiten heftig zu

  4. Batteriesystem und Ladestrategie beim Audi e-tron

    Audi e-tron

    Der erste rein elektrische Audi hat eine Batterie mit großer Kapazität. Und er kann sehr schnell laden. Wie das Konzept im Detail funktioniert, haben die Ingenieure des e-tron jetzt in einem Workshop erklärt: Das unausgesprochene Ziel ist, einen neuen Maßstab zu setzen und Tesla zu übertreffen

Anzeige