Drupal hat Anwender seines freien Content Management System (CMS) aufgerufen, die neuesten Updates einzuspielen, um schwerwiegende Sicherheitslücken zu schließen. Diese stecken in verschiedenen Modulen und erlauben es Angreifern, eine Website zu entführen und Schadcode aus der Ferne auszuführen. Von den Schwachstellen sollen mindestens 13.000 auf Drupal basierende Sites betroffen sein.
Was die Sache noch verschlimmert: Jeder Besucher einer anfälligen Domain, der die fehlerhaften Module hostet, könnte die Lücken theoretisch ausnutzen, um eine Site zu übernehmen.
Eins der betroffenen Module ist RESTWS, das zum Erstellen von REST APIs verwendet wird und aktuell auf über 5800 Websites zum Einsatz kommt. Durch Ausnutzen der Schwachstelle in diesem Modul können Angreifer schädlichen PHP-Code ausführen. Entdeckt hat sie der Sicherheitsexperte Devin Zuczek.
Eine Lücke findet sich auch im Modul Coder, das auf knapp 5000 Drupal-Domains zur Codeanalyse eingesetzt wird. Der von Nicky Bloor gemeldete, „hochkritische“ Fehler resultiert aus einer unzureichenden Prüfung von PHP-Script-Benutzereingaben und ermöglicht so Remotecodeausführung. Dafür muss das Modul nicht einmal aktiviert sein.
Das dritte und letzte Modul, das aktuell tausende Drupal-Websites gefährdet, ist Webform Multiple File Upload. Durch die darin enthaltene kritische Schwachstelle kann ein Angreifer eventuell ebenfalls Schadcode ausführen, abhängig von den auf der Domain verfügbaren Bibliotheken. Jedoch muss er dazu ein Webformular mit einem Multiple-File-Input-Feld übertragen. Entdecker dieser Lücke ist Ben Dougherty vom Drupal Security Team.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die Anfälligkeiten wurden mit den jüngsten Versionen der Module beseitigt. Anwender sollten sie daher schnellstmöglich installieren, um ihre Drupal-Websites abzusichern.
Weltweit basieren mehr als eine Million Sites auf Drupal. Es ist damit nach WordPress und Joomla das am dritthäufigsten eingesetzte CMS. Aufgrund seiner E-Commerce-Funktionen ist Drupal vor allem bei Geschäftsanwendern beliebt. Schätzungsweise neun Prozent der 10.000 führenden Websites nutzen das Drupal-System.
Im Januar wies der Aktualisierungsprozess von Drupal Schwachstellen auf, die alle Versionen des CMS betrafen. Sie ermöglichten Codeausführung und den Diebstahl von in Datenbanken vorgehaltenen Identitäten. Im Februar schloss Drupal mit einem Update gleich zehn kritische Lücken, von denen einige ebenfalls für Remotecodeausführung und Webiste-Hijacking ausgenutzt werden konnten.
[mit Material von Charlie Osborne, ZDNet.com]
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.