Lücke: Alle Drupal-Versionen erlauben Datendiebstahl und Codeausführung

Eine Reihe von in dem Content-Management-System Drupal gefundenen Lücken ermöglicht Codeausführung und Diebstahl von in Datenbanken vorgehaltenen Identitäten. Die Anfälligkeiten befinden sich laut Fernando Arnaboldi von IOActive im Aktualisierungsprozess von Drupal. Sie sind grundsätzlicher Natur und betreffen alle Versionen. Threatpost hat den Bericht aufgegriffen.

Die von Arnaboldi kombinierten Lücken sind unterschiedlichen Alters, eine kursiert seit Jahren, zwei andere waren bis heute unbekannt. Als Hauptproblem schildert der Sicherheitsforscher, dass Drupal Updates nicht verschlüsselt und auch ihre Herkunft nicht verifiziert, was Man-in-the-Middle-Angriffe auf den Aktualisierungsprozess erleichtert.

Für eine solche Attacke muss sich der Angreifer im gleichen Netz wie sein Opfer befinden, beispielsweise einem öffentlichen WLAN oder durch eine separate Attacke. Als Teil des Aktualisierungsprozesses lädt Drupal eine XML-Datei im Textformat; laut Arnaboldi könnte sie auf eine beliebige präparierte Version des CMS mit einer Hintertür verweisen, auf einem beliebigen Server. Sein Proof-of-Concept lädt beispielsweise ein Update „7.41 mit Hintertür“.

WEBINAR

Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert

Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.

Zweites Problem ist laut dem Forscher, dass Drupal nicht warnt, wenn der Update-Prozess an Verbindungsproblemen scheitert, sondern stattdessen informiert, die Software sei auf dem neuesten Stand. Und drittens gibt es ergänzend einen Button, um die Aktualität der Plug-ins manuell zu überprüfen. Dieser ließe sich per Cross-Site-Scripting missbrauchen, um beliebig Daten von updates.drupal.org abzurufen und so Bandbreite zu verbrauchen oder gar einen Denial-of-Service-Angriff auszulösen.

IOActive hat das Open-Source-Projekt Drupal im November über die Schwachstellen informiert. Daraufhin beschloss man, die Frage der Verschlüsselung von Updates öffentlich zu diskutieren. Dazu wurde in den Drupal-Foren ein einschlägiger Diskussionsfaden von 2012 wieder geöffnet. Gegen eine Bekanntmachung der anderen Lücken hatte Drupal laut Arnaboldi nichts. Nach Eindruck des Forschers ist kurzfristig kein Patch geplant.

Drupal 8 stammt von Mitte November. Arnaboldi hatte schon für dieses große Update mit einer Korrektur für die Lücken gerechnet. Diese Woche erschien Drupal 8.0.2 – weiter ungepatcht.

Die Sicherheitsfirma IOActive konnte zuletzt Sicherheitslücken prominenter Software aufdecken. So gelang es einem ihrer Mitarbeiter im vergangenen Jahr, einen fahrenden Chrysler Jeep Cherokee zu entführen. Der Sicherheitsforscher wurde später von Uber abgeworben. IOActive spürte aber auch Sicherheitslücken in den Update-Systemen von LG und Lenovo auf.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

9 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

11 Stunden ago