Categories: Data & StorageDatenbankOpen SourceSicherheitSoftware

Update für Drupal 7 stopft Sicherheitslücke

Die Entwickler des weit verbreiteten Content-Management-Systems Drupal haben einen Patch veröffentlicht, der in Version 7 der Software eine als kritisch eingestufte SQL-Injection-Lücke schließen soll. Über diese können Angreifer laut dem Sicherheitsunternehmen Volexity ohne vorherige Authentifizierung beliebige SQL-Befehle absetzen und so die Kontrolle über das komplette CMS und die damit verwaltete Website übernehmen.

Die Schwachstelle steckt in der sogenannten Datenbankabstraktions-API von Drupal. Die Programmierschnittstelle dient dazu, SQL-Abfragen gegen die Datenbank zu prüfen und gegebenenfalls zu filtern.

Auf diese Weise sollen SQL-Injection-Angriffe eigentlich verhindert werden. In diesem Fall ermöglicht die API allerdings die Ausführung von SQL-Kommandos, welche beispielsweise die dahinter befindliche Datenbank manipulieren könnten, damit die Angreifer etwa an Nutzerdaten gelangen. Denkbar ist auch, dass sich Unbefugte durch Rechteausweitung (Privilege Escalation) als Administrator Zugang zu Drupal verschaffen oder dass schädlicher PHP-Code eingeschleust wird.

Volexity empfiehlt Drupal-Anwendern daher dringend, auf die am Mittwoch veröffentlichte Version 7.32 zu aktualisieren. Weiterhin sollten Website-Betreiber laut dem Security-Anbieter ihr System, ihre Datenbank sowie ihre Log-Dateien auf potenzielle Attacken untersuchen. Eine Kompromittierung erkenne der Nutzer beispielsweise daran, dass es nicht mehr möglich ist, sich mit dem Administratorkonto anzumelden. Zudem werde der Name des Accounts auf „Owned“ gesetzt.

Ferner wird Betreibern geraten, im Worst-Case-Szenario den Webserver neu aufzusetzen und auf einem frischen System die neueste Drupal-Version zu installieren. Darüber hinaus sollte der Zugang zu den Nutzer- und Administratorkonten Volexity zufolge eingeschränkt und eine Zwei-Faktor-Authentifizierung integriert werden. Das Unternehmen empfielt hierbei etwa eine Lösung des Anbieters Duo Security.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Rainer Schneider

Seit September 2013 ist Rainer hauptsächlich für ITespresso im Einsatz, schreibt aber gerne auch mal hintergründige Artikel für ZDNet und springt ebenso gerne für silicon ein. Er interessiert sich insbesondere für die Themen IT-Security und Mobile. Sein beständiges Ziel ist es, die komplexe IT-Welt so durchsichtig und verständlich wie möglich abzubilden.

Share
Published by
Rainer Schneider
Tags: DatenbankOpen SourceSecure-ITSQL
10 Jahren ago

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

10 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago