Die Entwickler des weit verbreiteten Content-Management-Systems Drupal haben einen Patch veröffentlicht, der in Version 7 der Software eine als kritisch eingestufte SQL-Injection-Lücke schließen soll. Über diese können Angreifer laut dem Sicherheitsunternehmen Volexity ohne vorherige Authentifizierung beliebige SQL-Befehle absetzen und so die Kontrolle über das komplette CMS und die damit verwaltete Website übernehmen.
Auf diese Weise sollen SQL-Injection-Angriffe eigentlich verhindert werden. In diesem Fall ermöglicht die API allerdings die Ausführung von SQL-Kommandos, welche beispielsweise die dahinter befindliche Datenbank manipulieren könnten, damit die Angreifer etwa an Nutzerdaten gelangen. Denkbar ist auch, dass sich Unbefugte durch Rechteausweitung (Privilege Escalation) als Administrator Zugang zu Drupal verschaffen oder dass schädlicher PHP-Code eingeschleust wird.
Volexity empfiehlt Drupal-Anwendern daher dringend, auf die am Mittwoch veröffentlichte Version 7.32 zu aktualisieren. Weiterhin sollten Website-Betreiber laut dem Security-Anbieter ihr System, ihre Datenbank sowie ihre Log-Dateien auf potenzielle Attacken untersuchen. Eine Kompromittierung erkenne der Nutzer beispielsweise daran, dass es nicht mehr möglich ist, sich mit dem Administratorkonto anzumelden. Zudem werde der Name des Accounts auf „Owned“ gesetzt.
Ferner wird Betreibern geraten, im Worst-Case-Szenario den Webserver neu aufzusetzen und auf einem frischen System die neueste Drupal-Version zu installieren. Darüber hinaus sollte der Zugang zu den Nutzer- und Administratorkonten Volexity zufolge eingeschränkt und eine Zwei-Faktor-Authentifizierung integriert werden. Das Unternehmen empfielt hierbei etwa eine Lösung des Anbieters Duo Security.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
