Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Entwicklung & Design

Open-Source-CMS Drupal: Kritische Lücke bringt Nutzer in Handlungsnot

    Open-Source-CMS Drupal: Kritische Lücke bringt Nutzer in Handlungsnot

Drupal-CMS.  Drupal CMS. (Foto: Gábor Hojtsy / Flickr Lizenz: CC BY-SA 2.0)

Das beliebte Open-Source-CMS Drupal kämpft mit einer hochkritischen Sicherheitslücke. Was Nutzer wissen müssen und wie sie ihre Website vor Angriffen absichern.

Drupal mit hochkritischer Sicherheitslücke

Die Warnung, die das Entwicklerteam um das Open-Source-CMS Drupal am Mittwoch Abend herausgibt, könnte nicht deutlicher sein: Alle Drupal-7-Installationen, die nicht innerhalb von sieben Stunden nach Veröffentlichung des letzten Patches abgesichert wurden, seien als „kompromittiert“ zu betrachten, schreibt das Drupal-Team auf seiner Website.

Drupal erklärt, wie Betroffene mit der hochkritischen Sicherheitslücke umgehen. (Logo: Drupal)
Drupal erklärt, wie Betroffene mit der hochkritischen Sicherheitslücke umgehen. (Logo: Drupal)

Vorausgegangen war dieser Meldung eine hochkritische Sicherheitslücke, die Drupal am 15. Oktober erst publik gemacht und dann mit einem Patch zu schließen versucht hatte. Die Sicherheitslücke, die unter dem Namen „Drupageddon“ firmiert, ermöglichte es, über eine SQL-Injection die betroffene Webseite direkt zu übernehmen.

Nachträgliches Aufspielen zwecklos – Sicherheitsupdate ist Zahnloser Tiger

Zwar forderte Drupal seine Nutzer damals umgehend dazu auf, das Sicherheitsupdate aufzuspielen. Allerdings hätten schon wenige Stunden nach Bereitstellung des Patch die ersten automatisierten Angriffe begonnen. Daher ist anzunehmen, das eine ganze Reihe von ungepatchten Servern bereits von Fremdbetreibern kompromittiert worden ist. Das nachträgliche Aufspielen des Sicherheitsupdates ist übrigens ein zahnloser Tiger. Wie das Drupal-Team erklärt, würden einige Eindringlinge das Sicherheitsupdate nach ihrer Infektion selbst installieren, um das Einfallstor hinter sich zu schließen. Wer Opfer eines Angriffs geworden ist, muss davon ausgehen, dass alle auf dem Server gespeicherten Daten kopiert und missbraucht wurden.

Was Drupal-Nutzer jetzt tun sollten

Was aber können betroffene Drupal-Nutzer jetzt tun? Zum einen soll nach Angaben des Teams das Sicherheitsupdate zurückgehalten und zunächst ein Backup aufgespielt werden, das vor dem 15. Oktober erstellt wurde. Anschließend ist die Sicherheitslücke wahlweise über das Update auf Version 7.32 oder den besagten Patch zu schließen. Außerdem seien die Passwörter zu ändern, ehe man mit seiner auf Drupal gestützten Website wieder online geht.

via www.heise.de

Finde einen Job, den du liebst zum Thema TYPO3, PHP

8 Reaktionen
ladenthin
ladenthin

Gibt es ähnliche Probleme bei WordPress ... und ein mögliches Plugin hierfür?

Antworten
irgendeinem Spinner
irgendeinem Spinner

Wir kommst du darauf? Die beiden Projekte haben meines Wissens nach doch gar keine gemeinsame Codebasis.

Antworten
Julian

Für alle mit Shell Zugriff empfehle ich das Drush Tool "druaplgeddon" damit könnt ich eure Drupal 7 Installation ihr auf bisher bekannte Angriffe prüfen.

Antworten
Ich
Ich

Ist Drupal 6 auch betroffen?

Antworten
Oink
Oink

Komplexe CMS Systeme zu nutzen, wo das gesamte Backend mit dranhängt und auf dem Webspace schlummert, wird immer gefährlicher... vor allem wirds dann lästig, wenn das CMS keine eigene Aktualisierungsfunktion hat. Für kleinere Sachen verwende ich mittlerweile schon Static Site Generatoren, Offline CMS. Dann gibts auch keine Sicherheitsprobleme...

Antworten
irgendeinem Spinner
irgendeinem Spinner

Was sind Content Management Systeme Systeme?

Antworten
Oink
Oink

Inception ... :D

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen