Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.834.575 Produkten

Ronald Eikenberg 15

Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Durch eine kritische Lücke im Content-Management-System Drupal können Angreifer eigenen PHP-Code auf dem Server ausführen. Eine weitere Schwachstelle missbrauchen Spammer bereits, um Werbung zu hosten.

Das Drupal-Team hat drei Sicherheitslücken in seinem Content-Management-System geschlossen, die es zum Teil in sich haben: So können Angreifer etwa eine kritische Schwachstelle im YAML-Parser missbrauchen, um eigenen PHP-Code auf dem Server auszuführen. Auch das RESTful-Modul (rest), welches Nutzern das Hochladen von Dateien erlaubt, mussten die Entwickler absichern. Es patzte bei der Validierung der von den Nutzern angelieferten Daten, wenn Dateien verändert wurde. Die Entwickler stufen das Problem als "weniger kritisch" (Less Critical) ein.

Last but not least konnten anonyme Nutzer Dateien hochladen, die dann öffentlich über das Internet abrufbar waren. Das Drupal-Team erklärt, dass diese "moderat kritische" Anfälligkeit bereits von Spammern ausgenutzt wird, um Bilder für Werbekampagnen zu hosten. Von den ersten beiden Sicherheitslücken ist ausschließlich Drupal 8 betroffen, die dritte klafft auch in Drupal 7. Für Abhilfe sorgt ein Update auf Drupal 8.3.4 respektive 7.5.6. Wer eine betroffene Drupal-Installation administriert, sollte so schnell wie möglich auf die aktuelle Version umsteigen. (rei)

15 Kommentare

Themen:

Anzeige
Anzeige