t3n News Entwicklung

Open-Source-CMS Drupal: Kritische Lücke bringt Nutzer in Handlungsnot

Open-Source-CMS Drupal: Kritische Lücke bringt Nutzer in Handlungsnot

Das beliebte Open-Source-CMS kämpft mit einer hochkritischen . Was Nutzer wissen müssen und wie sie ihre Website vor Angriffen absichern.

Open-Source-CMS Drupal: Kritische Lücke bringt Nutzer in Handlungsnot

Drupal-CMS.  Drupal CMS. (Foto: Gábor Hojtsy / Flickr Lizenz: CC BY-SA 2.0)

Drupal mit hochkritischer Sicherheitslücke

Die Warnung, die das Entwicklerteam um das Open-Source-CMS am Mittwoch Abend herausgibt, könnte nicht deutlicher sein: Alle Drupal-7-Installationen, die nicht innerhalb von sieben Stunden nach Veröffentlichung des letzten Patches abgesichert wurden, seien als „kompromittiert“ zu betrachten, schreibt das Drupal-Team auf seiner Website.

Drupal erklärt, wie Betroffene mit der hochkritischen Sicherheitslücke umgehen. (Logo: Drupal)
Drupal erklärt, wie Betroffene mit der hochkritischen Sicherheitslücke umgehen. (Logo: Drupal)

Vorausgegangen war dieser Meldung eine hochkritische Sicherheitslücke, die Drupal am 15. Oktober erst publik gemacht und dann mit einem Patch zu schließen versucht hatte. Die Sicherheitslücke, die unter dem Namen „Drupageddon“ firmiert, ermöglichte es, über eine SQL-Injection die betroffene Webseite direkt zu übernehmen.

Nachträgliches Aufspielen zwecklos – Sicherheitsupdate ist Zahnloser Tiger

Zwar forderte Drupal seine Nutzer damals umgehend dazu auf, das Sicherheitsupdate aufzuspielen. Allerdings hätten schon wenige Stunden nach Bereitstellung des Patch die ersten automatisierten Angriffe begonnen. Daher ist anzunehmen, das eine ganze Reihe von ungepatchten Servern bereits von Fremdbetreibern kompromittiert worden ist. Das nachträgliche Aufspielen des Sicherheitsupdates ist übrigens ein zahnloser Tiger. Wie das Drupal-Team erklärt, würden einige Eindringlinge das Sicherheitsupdate nach ihrer Infektion selbst installieren, um das Einfallstor hinter sich zu schließen. Wer Opfer eines Angriffs geworden ist, muss davon ausgehen, dass alle auf dem Server gespeicherten Daten kopiert und missbraucht wurden.

Was Drupal-Nutzer jetzt tun sollten

Was aber können betroffene Drupal-Nutzer jetzt tun? Zum einen soll nach Angaben des Teams das Sicherheitsupdate zurückgehalten und zunächst ein Backup aufgespielt werden, das vor dem 15. Oktober erstellt wurde. Anschließend ist die Sicherheitslücke wahlweise über das Update auf Version 7.32 oder den besagten Patch zu schließen. Außerdem seien die Passwörter zu ändern, ehe man mit seiner auf Drupal gestützten Website wieder online geht.

via www.heise.de

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
8 Antworten
  1. von Oink am 30.10.2014 (09:48 Uhr)

    Komplexe CMS Systeme zu nutzen, wo das gesamte Backend mit dranhängt und auf dem Webspace schlummert, wird immer gefährlicher... vor allem wirds dann lästig, wenn das CMS keine eigene Aktualisierungsfunktion hat. Für kleinere Sachen verwende ich mittlerweile schon Static Site Generatoren, Offline CMS. Dann gibts auch keine Sicherheitsprobleme...

    Antworten Teilen
  2. von Ich am 30.10.2014 (13:26 Uhr)

    Ist Drupal 6 auch betroffen?

    Antworten Teilen
  3. von Julian am 30.10.2014 (14:52 Uhr)

    Für alle mit Shell Zugriff empfehle ich das Drush Tool "druaplgeddon" damit könnt ich eure Drupal 7 Installation ihr auf bisher bekannte Angriffe prüfen.

    Antworten Teilen
  4. von ladenthin am 31.10.2014 (00:25 Uhr)

    Gibt es ähnliche Probleme bei WordPress ... und ein mögliches Plugin hierfür?

    Antworten Teilen
    • von irgendeinem Spinner am 31.10.2014 (10:33 Uhr)

      Wir kommst du darauf? Die beiden Projekte haben meines Wissens nach doch gar keine gemeinsame Codebasis.

      Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Drupal
Von Publishern für Publisher: Burda stellt neues Open-Source-CMS auf Drupal-Basis vor
Von Publishern für Publisher: Burda stellt neues Open-Source-CMS auf Drupal-Basis vor

Der Medienkonzern Burda hat mit Thunder ein quelloffenes Content-Management-System auf Basis von Drupal 8 veröffentlicht. Das Unternehmen will so weitere Partner aus der Medienbranche gewinnen, um … » weiterlesen

Pagekit 1.0: Das modulare Open-Source-CMS im Überblick
Pagekit 1.0: Das modulare Open-Source-CMS im Überblick

Das Open-Source-CMS Pagekit ist in Version 1.0 erschienen. Wir verraten euch, was das modulare Content-Management-System alles kann. » weiterlesen

WordPress, Drupal, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (Februar)
WordPress, Drupal, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (Februar)

Bei den großen CMS und einem Blog-System gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem Februar stellen wir euch hier … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?