Erneut Security-Releases für Drupal 8 und 7 angekündigt

Wichtiges Sicherheitsupdate am 25.08.2018

Schon wieder Drupal?

Das verantwortliche Sicherheitsteam hatte bereits am 21. März 2018 in SA-CORE-2018-001 die Veröffentlichung eines Security-Release für das populäre Redaktionssystem Drupal angekündigt, eine Vorankündigung, welche die Alarmglocken läuten ließ.

Die letzte schwerwiegende Sicherheitslücke im Drupal-Kern wurde im Jahr 2014 «Drupalgeddon» getauft, nachdem ungesicherte Seiten innerhalb weniger Wochen über teils automatisierte Angriffe übernommen wurden. Der Sicherheits-Albtraum für Betreiber und Nutzer betroffener Internetseiten.

Drupalgeddon 2 und Follow-Up

Auf die Ankündigung folgte dann am 28.03.2018 tatsächlich die Bekanntgabe von «Drupalgeddon 2». Drupal-Installationen, welche das Sicherheitsupdates oder einen zeitgleich zur Verfügung gestellten Patch nicht bis zum 11.04.2018 eingespielt hatten, müssen laut Drupal-Security-Team als kompromittiert angesehen werden.

Die nun erfolgte Ankündigung wird als Follow-Up zu ebendieser Veröffentlichung bezeichnet.

Spekulationen zur neuen Sicherheitslücke

Die neuerliche Vorankündigung lässt derweil nichts gutes hoffen. Waren die zur Verfügung gestellten Patches nicht ausreichend, kann die Lücke über einen Umweg weiter ausgenutzt werden? Angreifer konnten anfällige Websites immerhin bereits über einen manipulierten Besuch übernehmen, ein Proof-of-Concept für den Angriff tauchte bereits kurz nach Veröffentlichung auf.

Ein außerplanmäßiges Security-Release ist jedenfalls bei Drupal nichts Alltägliches. Drupal-Administratoren sollten den Veröffentlichungstermin morgen insofern im Auge behalten und die bereitsgestellten Core-Versionen kurzfristigst einspielen.

Seitenbetreiber, die Updates nicht selbst einspielen können und deren Plattformen nicht über einen Dienstleister / Wartungsvertrag gesichert werden, sollten das Update zeitnah beim Administrator Ihres Vertrauens beauftragen.

Zusammenfassung

Aktuell vorliegende Infos

  • Drupal Security Release am
    25.04.2018
  • Betroffene Versionsstränge
    7.x, 8.4, 8.5
  • Offizielle Warnung
    PSA-2018-003
  • mutmaßlich hohes Risiko zeitnaher, automatisierter Angriffe

Artikel vom
  24.04.2018 10:30 Uhr

Ergänzungen? Korrekturen?
  hello@ndve.de

Andere aktuelle Artikel

16.05.2018 | Efail: Panik um E-Mail-Verschlüsselung
PGP ist nicht kaputt!
  Verschlüsselungsverfahren

"E-Mail-Verschlüsselung, PGP & Co ... da war doch irgendwas, das ist doch sowieso nicht sicher" – bitte behalten Sie das nicht im Hinterkopf.

Lesen Sie im Artikel, warum und wie Sie trotz der aktuellen Warnungen weiterhin sicher E-Mails verschlüsseln können.

11.05.2018 | Sicherheitsupdate
Firefox   ALARM
  Internet-Browser

Mozilla hat bereits am 09.05.2018 die Veröffentlichung von neuen Versionen für Firefox und Firefox ESR bekannt gegeben.

Details zu den veröffentlichten Lücken erfahren Sie im Artikel.

11.05.2018 | Sicherheitsupdate
Google Chrome   ALARM
  Internet-Browser

Google veröffentlicht eine neue Chrome-Version und behebt damit u. a. eine kritische Sicherheitlücke im beliebten Browser.

Das Update sollten Sie sofort und ohne Verzögerung einspielen, im Artikel erfahren Sie die Details.

Brennpunkt: Sicherheit

Ist Ihre Website angreifbar?
Welches System liegt zugrunde, welche Angriffsvektoren kommen in Frage?
Was können Sie tun, um die Sicherheit zu verbessern?

Telefonische oder persönliche Erstberatung bezüglich allgemeiner technischer und sicherheitsbezogener Aspekte zu Ihrem Internetauftritt - einmalig ohne Honorarberechnung für eine Plattform pro Kunde / Unternehmen.