Drupal hat Anwender seines freien Content Management System (CMS) aufgerufen, die neuesten Updates einzuspielen, um schwerwiegende Sicherheitslücken zu schließen. Diese stecken in verschiedenen Modulen und erlauben es Angreifern, eine Website zu entführen und Schadcode aus der Ferne auszuführen. Von den Schwachstellen sollen mindestens 13.000 auf Drupal basierende Sites betroffen sein.
Was die Sache noch verschlimmert: Jeder Besucher einer anfälligen Domain, der die fehlerhaften Module hostet, könnte die Lücken theoretisch ausnutzen, um eine Site zu übernehmen.
Eins der betroffenen Module ist RESTWS, das zum Erstellen von REST APIs verwendet wird und aktuell auf über 5800 Websites zum Einsatz kommt. Durch Ausnutzen der Schwachstelle in diesem Modul können Angreifer schädlichen PHP-Code ausführen. Entdeckt hat sie der Sicherheitsexperte Devin Zuczek.
Eine Lücke findet sich auch im Modul Coder, das auf knapp 5000 Drupal-Domains zur Codeanalyse eingesetzt wird. Der von Nicky Bloor gemeldete, „hochkritische“ Fehler resultiert aus einer unzureichenden Prüfung von PHP-Script-Benutzereingaben und ermöglicht so Remotecodeausführung. Dafür muss das Modul nicht einmal aktiviert sein.
Das dritte und letzte Modul, das aktuell tausende Drupal-Websites gefährdet, ist Webform Multiple File Upload. Durch die darin enthaltene kritische Schwachstelle kann ein Angreifer eventuell ebenfalls Schadcode ausführen, abhängig von den auf der Domain verfügbaren Bibliotheken. Jedoch muss er dazu ein Webformular mit einem Multiple-File-Input-Feld übertragen. Entdecker dieser Lücke ist Ben Dougherty vom Drupal Security Team.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Die Anfälligkeiten wurden mit den jüngsten Versionen der Module beseitigt. Anwender sollten sie daher schnellstmöglich installieren, um ihre Drupal-Websites abzusichern.
Weltweit basieren mehr als eine Million Sites auf Drupal. Es ist damit nach WordPress und Joomla das am dritthäufigsten eingesetzte CMS. Aufgrund seiner E-Commerce-Funktionen ist Drupal vor allem bei Geschäftsanwendern beliebt. Schätzungsweise neun Prozent der 10.000 führenden Websites nutzen das Drupal-System.
Im Januar wies der Aktualisierungsprozess von Drupal Schwachstellen auf, die alle Versionen des CMS betrafen. Sie ermöglichten Codeausführung und den Diebstahl von in Datenbanken vorgehaltenen Identitäten. Im Februar schloss Drupal mit einem Update gleich zehn kritische Lücken, von denen einige ebenfalls für Remotecodeausführung und Webiste-Hijacking ausgenutzt werden konnten.
[mit Material von Charlie Osborne, ZDNet.com]
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…