Eine Reihe von in dem Content-Management-System Drupal gefundenen Lücken ermöglicht Codeausführung und Diebstahl von in Datenbanken vorgehaltenen Identitäten. Die Anfälligkeiten befinden sich laut Fernando Arnaboldi von IOActive im Aktualisierungsprozess von Drupal. Sie sind grundsätzlicher Natur und betreffen alle Versionen. Threatpost hat den Bericht aufgegriffen.
Für eine solche Attacke muss sich der Angreifer im gleichen Netz wie sein Opfer befinden, beispielsweise einem öffentlichen WLAN oder durch eine separate Attacke. Als Teil des Aktualisierungsprozesses lädt Drupal eine XML-Datei im Textformat; laut Arnaboldi könnte sie auf eine beliebige präparierte Version des CMS mit einer Hintertür verweisen, auf einem beliebigen Server. Sein Proof-of-Concept lädt beispielsweise ein Update „7.41 mit Hintertür“.
Das Webinar “Wie eine optimale IT-Infrastruktur für UCC-Lösungen die Produktivität Ihrer Mitarbeiter steigert” informiert Sie über die Vorteile einer Unified Communications & Collaboration-Lösung (UCC) und skizziert die technischen Grundlagen, die für die erfolgreiche Implementierung nötig sind. Jetzt registrieren und die aufgezeichnete Fassung des Webinars ansehen.
IOActive hat das Open-Source-Projekt Drupal im November über die Schwachstellen informiert. Daraufhin beschloss man, die Frage der Verschlüsselung von Updates öffentlich zu diskutieren. Dazu wurde in den Drupal-Foren ein einschlägiger Diskussionsfaden von 2012 wieder geöffnet. Gegen eine Bekanntmachung der anderen Lücken hatte Drupal laut Arnaboldi nichts. Nach Eindruck des Forschers ist kurzfristig kein Patch geplant.
Drupal 8 stammt von Mitte November. Arnaboldi hatte schon für dieses große Update mit einer Korrektur für die Lücken gerechnet. Diese Woche erschien Drupal 8.0.2 – weiter ungepatcht.
Die Sicherheitsfirma IOActive konnte zuletzt Sicherheitslücken prominenter Software aufdecken. So gelang es einem ihrer Mitarbeiter im vergangenen Jahr, einen fahrenden Chrysler Jeep Cherokee zu entführen. Der Sicherheitsforscher wurde später von Uber abgeworben. IOActive spürte aber auch Sicherheitslücken in den Update-Systemen von LG und Lenovo auf.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…