Erneut schwere Sicherheitslücken in Drupal

Pflicht-Updates für Ihre Drupal-Installation

Wieder schwere Sicherheitslücke

Wie im gestrigen Blog-Eintrag gemutmaßt – die zuvor angekündigte, heute veröffentlichte Sicherheitslücke im Drupal-Kern ist wieder extrem kritisch. Angreifer können über einen manipulierten Besuch eigenen Code ausführen und damit die Website vollständig übernehmen.

Das Drupal-Team geht davon aus, dass innerhalb weniger Stunden Exploits entwickelt werden könnten. Verantwortliche Drupal-Administratoren sollten entsprechend sofort handeln.

Update 25.04.2018 23:45 Uhr

Laut einer Mitteilung über den offiziellen Drupal-Twitter-Kanal wird die Sicherheitslücke von Angreifern bereits aktiv ausgenutzt. Das ist eine fatale Entwicklung, mit der dieses Release für etliche Unternehmen eine aufwendigere Angelegenheit werden dürfte.

Administratoren, welche weder Core-Update noch Patch rechtzeitig einspielen konnten, sollten die Möglichkeit prüfen, ein Backup der Installation zu nutzen und dieses bereits vor Live-Schaltung mit den Updates zu versorgen.

Patches verfügbar

Für Installationen, bei denen es nicht möglich ist, den Drupal-Kern zu aktualisieren stehen zusätzlich Patches bereit. Voraussetzung für deren Funktion ist allerdings, dass mindestens der Patch aus SA-CORE-2018-002 eingespielt wurde.

Sollte weder Core-Release noch ein Patch sofort eingespielt werden können, so nehmen Sie die betroffene Installation aus Sicherheitsgründen sofort vom Netz, bis Sie die Updates nachholen können. Es genügt nicht, die Seite in den Wartungsmodus zu schalten – Drupal-Websites im Wartungsmodus sind ebenso verwundbar.

Kritische Updates auch für Module

Zeitgleich mit den Core-Updates liefert Drupal sicherheitsrelevante Updates für die Module Media, DRD Agent und JSON API.

Auch hier sollten Administratoren schnell handeln, die Sicherheitslücken sind teils als kritisch eingestuft. Die hohe Verbreitung des z. B. Media-Moduls macht zudem die Entwicklung eines Exploits für Angreifer attraktiv.

Zusammenfassung

Vorliegende Informationen

  • Drupal Security Releases
    Drupal 7.59 highly critical
    Drupal 8.48 highly critical
    Drupal 8.53 highly critical
  • Wichtige Modul-Updates
    Modul "Media" critical
    Modul "DRD Agent" critical
    Modul "JSON API"
  • Offizielle Warnung
    SA-CORE-2018-004
  • hohes Risiko zeitnaher, automatisierter Angriffe

Artikel vom
  25.04.2018 23:15 Uhr

Ergänzungen? Korrekturen?
  hello@ndve.de

Andere aktuelle Artikel

16.05.2018 | Efail: Panik um E-Mail-Verschlüsselung
PGP ist nicht kaputt!
  Verschlüsselungsverfahren

"E-Mail-Verschlüsselung, PGP & Co ... da war doch irgendwas, das ist doch sowieso nicht sicher" – bitte behalten Sie das nicht im Hinterkopf.

Lesen Sie im Artikel, warum und wie Sie trotz der aktuellen Warnungen weiterhin sicher E-Mails verschlüsseln können.

11.05.2018 | Sicherheitsupdate
Firefox   ALARM
  Internet-Browser

Mozilla hat bereits am 09.05.2018 die Veröffentlichung von neuen Versionen für Firefox und Firefox ESR bekannt gegeben.

Details zu den veröffentlichten Lücken erfahren Sie im Artikel.

11.05.2018 | Sicherheitsupdate
Google Chrome   ALARM
  Internet-Browser

Google veröffentlicht eine neue Chrome-Version und behebt damit u. a. eine kritische Sicherheitlücke im beliebten Browser.

Das Update sollten Sie sofort und ohne Verzögerung einspielen, im Artikel erfahren Sie die Details.

Brennpunkt: Sicherheit

Ist Ihre Website angreifbar?
Welches System liegt zugrunde, welche Angriffsvektoren kommen in Frage?
Was können Sie tun, um die Sicherheit zu verbessern?

Telefonische oder persönliche Erstberatung bezüglich allgemeiner technischer und sicherheitsbezogener Aspekte zu Ihrem Internetauftritt - einmalig ohne Honorarberechnung für eine Plattform pro Kunde / Unternehmen.