Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.685.335 Produkten

Ronald Eikenberg 15

Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Durch eine kritische Lücke im Content-Management-System Drupal können Angreifer eigenen PHP-Code auf dem Server ausführen. Eine weitere Schwachstelle missbrauchen Spammer bereits, um Werbung zu hosten.

Das Drupal-Team hat drei Sicherheitslücken in seinem Content-Management-System geschlossen, die es zum Teil in sich haben: So können Angreifer etwa eine kritische Schwachstelle im YAML-Parser missbrauchen, um eigenen PHP-Code auf dem Server auszuführen. Auch das RESTful-Modul (rest), welches Nutzern das Hochladen von Dateien erlaubt, mussten die Entwickler absichern. Es patzte bei der Validierung der von den Nutzern angelieferten Daten, wenn Dateien verändert wurde. Die Entwickler stufen das Problem als "weniger kritisch" (Less Critical) ein.

Anzeige

Last but not least konnten anonyme Nutzer Dateien hochladen, die dann öffentlich über das Internet abrufbar waren. Das Drupal-Team erklärt, dass diese "moderat kritische" Anfälligkeit bereits von Spammern ausgenutzt wird, um Bilder für Werbekampagnen zu hosten. Von den ersten beiden Sicherheitslücken ist ausschließlich Drupal 8 betroffen, die dritte klafft auch in Drupal 7. Für Abhilfe sorgt ein Update auf Drupal 8.3.4 respektive 7.5.6. Wer eine betroffene Drupal-Installation administriert, sollte so schnell wie möglich auf die aktuelle Version umsteigen. (rei)

15 Kommentare

Themen:

Anzeige
  1. Sicherheitsupdates: Angreifer könnten Drupal-Webseiten ein bisschen umbauen

    Sicherheitsupdate: Angreifer könnten Drupal-Webseiten umbauen

    Nutzer von Drupal sollten zügig die aktuellen Versionen installieren. In diesen haben die Entwickler mehrere Sicherheitslücken geschlossen.

  2. Drupal: Sicherheitsupdate jetzt installieren!

    Drupal: Sicherheitsupdate jetzt installieren!

    Für das Open-Source-CMS Drupal gibt es das erste Sicherheitsupdate des Jahres. Die Entwickler empfehlen Admins, so schnell wie möglich auf die neue Version umzusteigen.

  3. Angreifer könnten Drupal-Webseiten ausspionieren

    Angreifer könnten Drupal-Webseiten ausspionieren

    Im Versionsstrang 8.x klafft eine als kritisch eingestufte Sicherheitslücke. Abgesicherte Versionen schließen die Schwachstelle.

  4. Content Management Framework Drupal 8.4 mit Media-API und Workflows

    Content Management Framework Drupal 8.4 mit Media-API und Workflows

    Mit der Version 8.4 des quelloffenen Content-Management-Frameworks Drupal kommen Bugfixes und neue experimentelle Module. Internet Explorer 9 und 10 werden mit dem neuen Release nicht mehr unterstützt.

  1. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  2. Die Neuerungen von Linux 4.8

    Kernel-Log-Logo

    Der neue Kernel bringt eine Schnellverarbeitungsweg für Netzwerkpakete und Grundlagen für neue Dateisystemfunktionen bei XFS. Zahlreiche neuen und verbesserte Treiber bringen Unterstützung für Grafikchips von ARM, Intel und Nvidia. Ferner gab es einen ganzen Schwung von Änderungen, um die Sicherheit zu verbessern.

  3. Die Neuerungen von Linux 4.12

    Linux-Kernel 4.11

    Linux 4.12 verbessert das Live Patching und unterstützt AMDs neue High-End-Grafikchips. Zwei neue I/O Scheduler versprechen die Redaktionsfreude von Desktops und Servern zu steigern. Die Netzwerk-Schnellstrecke Express Data Path (XDP) lässt sich jetzt universell nutzen.

  1. Neues Tablet und Convertible von Fujitsu

    Neues Tablet und Convertible von Fujitsu

    Mit dem Stylistic Q738 und Lifebook T938 hat Fujitsu zwei neue Mobilrechner für Unternehmen vorgestellt. Tablet wie Convertible bieten viele Schnittstellen und lassen sich beide um Sicherheitskomponenten erweitern.

  2. DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    Schon vor der offiziellen Präsentation sind Bilder und Daten der DJI Mavic Air im Netz gelandet. Bei dem neuen Quadrocopter handelt es sich um eine Mischung aus Mavic Pro und der preiswerten Minidrohne Spark.

  3. Schutz vor einem EMP-Angriff

    Gegen die wegen ihrer Folgen verdrängte Waffe des elektronischen Zeitalters, die das Stromnetz und die Elektronik in großen Teilen eines Lands lahmlegen könnte, gibt es auch in den USA noch kaum Vorkehrungen

  4. Der Unterbrecher

    Roland Benedikter über ein Jahr Donald Trump

Anzeige