Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Gefahr für Drupal-Nutzer: Update-Prozess soll das CMS angreifbar machen

    Gefahr für Drupal-Nutzer: Update-Prozess soll das CMS angreifbar machen

Drupal. (Foto: Gábor Hojtsy / Flickr Lizenz: CC BY-SA 2.0)

Der Update-Mechanismus von Drupal soll Nutzern anzeigen, sie hätten die aktuelle Version des CMS, obwohl das Update fehlgeschlagen ist. Außerdem soll sich der Mechanismus auch dazu nutzen lassen, Schadsoftware auf dem System einzuschleusen.

Drupal: Fehlerhafter Update-Prozess sorgt für Probleme

Mehr als eine Million Websites setzen das Content-Management-System Drupal ein. Viele Nutzer von Drupal 7 und 8 könnten allerdings eine veraltete Version einsetzen, ohne es zu wissen. Nach Angaben des Sicherheitsexperten Fernando Arnaboldi zeigt der automatische Update-Mechanismus den Nutzern an, sie hätten die neuste Version, auch wenn der Update-Prozess aufgrund von Netzwerkproblemen fehlgeschlagen ist. So könnten sich Drupal-Nutzer in falscher Sicherheit wiegen.

Drupal: Der automatische Update-Mechanismus ist anscheinend fehlerhaft. (Screenshot: IOActive)
Drupal: Der automatische Update-Mechanismus ist anscheinend fehlerhaft. (Screenshot: IOActive)

Immerhin besteht die Möglichkeit, manuell nach Updates zu suchen. Wie Arnaboldi berichtet, besteht hier aber eine weitere Gefahr. Zumindest unter Drupal 7 lädt das CMS eine XML-Datei von Drupal.org über eine unverschlüsselte HTTP-Verbindung herunter, in der sich die Informationen über aktuelle Updates befinden. Über eine Man-in-the-Middle-Attacke könnten Angreifer dem Drupal-Nutzer daher ein manipuliertes Update unterjubeln. Immerhin scheint Drupal 8 davor allerdings geschützt zu sein.

Drupal: Nutzer sollten sich nicht auf den automatischen Update-Mechanismus verlassen

Derzeit gibt es keinen Patch für die oben erwähnten Probleme. Arnaboldi rät Drupal-Nutzern daher, Updates für Drupal und Add-ons manuell herunterzuladen. Das Problem dabei: Niemand hat vermutlich die Zeit, ständig nach Updates Ausschau zu halten. Wie wichtig es aber ist, das CMS möglichst schnell auf den neusten Stand zu bringen, zeigt ein Fall von Oktober 2014. Innerhalb kurzer Zeit verschafften sich Angreifer damals Zugriff auf Drupal-Systeme, die ein aktuelles Sicherheitsupdate nicht schnell genug installiert hatten.

Ebenfalls interessant in diesem Zusammenhang ist unser Artikel „Drupal 8: Verbesserte Usability, einfacher Export von Einstellungen und responsives Backend“.

via www.theregister.co.uk

Finde einen Job, den du liebst zum Thema TYPO3, PHP

1 Reaktionen
grep

Hallo ...,

'dass' ist wieder 'ein' Grund 'mehr' auf ein CMS zu verzichten wenn dies problemlos möglich ist, denn ... alles steht und fällt mit einer (dieser) Software - unnötigerweise !

Ciao, Sascha.

Antworten

Melde dich mit deinem t3n-Account an oder fülle die unteren Felder aus.

Abbrechen